L1 BIO 7.01.01 ISO A.7.4

Attack Simulation Training: Strategische Inzet Van Gesimuleerde Cyberaanvallen Voor Security Awareness

📅 2025-11-27
⏱️ 28 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Attack Simulation Training vertegenwoordigt een paradigmaverschuiving in security awareness: in plaats van medewerkers te informeren over dreigingen, worden zij actief blootgesteld aan realistische gesimuleerde cyberaanvallen binnen een gecontroleerde omgeving. Deze praktijkgerichte benadering transformeert theoretische kennis naar automatische responspatronen, waarbij medewerkers leren door directe ervaring met verschillende aanvalstypen zoals phishing, credential harvesting, malware-distributie en social engineering. Binnen de Nederlandse Baseline voor Veilige Cloud vormt Attack Simulation Training een essentieel onderdeel van een volwassen security awareness-programma dat niet alleen voldoet aan compliance-vereisten, maar vooral bijdraagt aan meetbare gedragsverandering en vermindering van het menselijke risico.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
48u (tech: 16u)
Van toepassing op:
M365
Microsoft Defender for Office 365 Plan 2
Exchange Online
Microsoft 365 E5

Meer dan 90% van alle succesvolle cyberaanvallen tegen Nederlandse organisaties begint met een phishing-email of social engineering poging waarbij de menselijke factor wordt geëxploiteerd. Traditionele awareness-methoden zoals e-learning modules, presentaties en posters hebben beperkt effect omdat zij kennis overbrengen zonder deze kennis te activeren in de context van reële bedreigingen. Kennis zonder herhaalde praktische toepassing verwatert snel, waardoor medewerkers ondanks training toch kwetsbaar blijven voor geavanceerde phishing-technieken die gebruikmaken van urgentie, autoriteit en vertrouwde contexten. Attack Simulation Training lost dit fundamentele probleem op door medewerkers regelmatig te confronteren met realistische scenario's die bijna niet te onderscheiden zijn van echte aanvallen. Wanneer een medewerker interageert met een gesimuleerde aanval, wordt hij direct doorgestuurd naar een educatieve interventie die uitlegt welke signalen hadden kunnen wijzen op de aanval en hoe men in de toekomst anders kan handelen. Deze directe feedback loop zorgt voor een veel effectievere leerervaring dan passieve training. Voor Nederlandse publieke organisaties is het implementeren van een gestructureerd Attack Simulation Training-programma bovendien essentieel voor naleving van BIO-normen die expliciet vragen om continue awareness training en meting van effectiviteit, AVG-vereisten rondom organisatorische maatregelen voor beveiliging van persoonsgegevens, en NIS2-verplichtingen voor cybersecurity risicobeheer en incident response training. Microsoft Defender voor Office 365 Attack Simulation Training biedt een volledig geïntegreerde oplossing die niet alleen realistische simulaties uitvoert, maar ook uitgebreide rapportages genereert over effectiviteit, trends over tijd en risicoprofielen per organisatieonderdeel.

PowerShell Modules Vereist
Primary API: Microsoft 365 Defender Portal, Microsoft Graph API
Connection: Microsoft Graph PowerShell, Microsoft 365 Defender REST API
Required Modules: Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Reports

Implementatie

Attack Simulation Training binnen Microsoft 365 Defender is een geavanceerd platform voor het ontwerpen, uitvoeren en monitoren van gesimuleerde cyberaanvallen als onderdeel van een structureel security awareness-programma. Het platform biedt een uitgebreide bibliotheek met vooraf gebouwde attack-templates die verschillende real-world scenario's simuleren, variërend van eenvoudige phishing-pogingen tot geavanceerde spear phishing-campagnes. Credential harvesting-simulaties bootsen aanvallen na waarbij gebruikers worden verleid om hun inloggegevens in te voeren op nagemaakte websites die visueel identiek zijn aan echte Microsoft 365 inlogpagina's. Malware in bijlagen-simulaties leren medewerkers om alert te zijn op verdachte bijlagen, zelfs van ogenschijnlijk bekende afzenders. Phishing via link-simulaties trainen medewerkers in het inspecteren van URLs voordat zij erop klikken en het herkennen van subtiele domeinnaammanipulaties. Drive-by download-simulaties tonen hoe kwaadaardige websites automatisch malware kunnen downloaden, terwijl OAuth consent grant-simulaties waarschuwen voor kwaadaardige apps die toegang vragen tot Microsoft 365-accounts. Elke simulatie kan worden aangepast met organisatie-specifieke details zoals huisstijl, afzendernamen, scenario's die relevant zijn voor de dagelijkse werkzaamheden van medewerkers en educatieve landingspagina's met aangepaste content. Na het uitvoeren van een simulatie genereert het platform uitgebreide rapportages die inzicht geven in klikpercentages, openpercentages, credential-entry percentages, malware-download percentages en meldingscijfers. Deze data wordt gebruikt om trends over tijd te identificeren, gerichte training te organiseren voor teams met verhoogd risico, het management te informeren over de voortgang van het awareness-programma en tijdens audits aan te tonen dat de organisatie actief werkt aan het verbeteren van security awareness met meetbare resultaten.

Strategische fundamenten van Attack Simulation Training

Een effectief Attack Simulation Training-programma begint niet bij technische implementatie, maar bij strategische afwegingen over hoe security awareness past binnen de bredere beveiligingsstrategie van de organisatie. Voor Nederlandse publieke organisaties betekent dit dat het programma expliciet moet worden gekoppeld aan de risicobeoordeling, het BIO-controleplan en de verplichtingen vanuit AVG en NIS2. Het programma moet aantoonbaar bijdragen aan risicoreductie, niet alleen door medewerkers te trainen, maar vooral door te meten of training daadwerkelijk leidt tot gedragsverandering. Deze meting vereist het vaststellen van baseline-metrics voordat het programma start: wat is het huidige klikpercentage bij phishing-simulaties, hoeveel medewerkers melden verdachte berichten, en welke afdelingen of functies vertonen verhoogde risico's? Deze baseline vormt de basis voor het formuleren van realistische doelstellingen en het meten van voortgang. Doelstellingen moeten SMART zijn: specifiek, meetbaar, acceptabel, realistisch en tijdgebonden. Bijvoorbeeld: 'Binnen twaalf maanden het klikpercentage bij phishing-simulaties verlagen van 28% naar onder de 12%' of 'Het meldingspercentage van verdachte berichten verhogen van 18% naar boven de 45%'. Deze doelstellingen moeten worden goedgekeurd door het management en gekoppeld worden aan het jaarlijkse security awareness-plan dat deel uitmaakt van het BIO-controleplan.

De strategische positionering van Attack Simulation Training vereist ook duidelijke afwegingen over frequentie, complexiteit en ethiek. Te frequente simulaties leiden tot vermoeidheid en afname van aandacht, terwijl te weinig simulaties onvoldoende oefening bieden om automatismen te ontwikkelen. Een gebalanceerde aanpak is om maandelijks een organisatiebrede simulatie uit te voeren met verschillende aanvalstypen, aangevuld met gerichte simulaties voor specifieke doelgroepen of afdelingen die uit eerdere resultaten blijken extra aandacht nodig te hebben. De complexiteit van simulaties moet geleidelijk worden opgebouwd: beginnend met relatief eenvoudige scenario's waarbij signalen duidelijk zichtbaar zijn, en naarmate medewerkers beter worden in herkenning, overstappen naar geavanceerde technieken zoals spear phishing waarbij emails persoonlijk zijn en gebaseerd op openbaar beschikbare informatie, of CEO-fraude waarbij aanvallers zich voordoen als leidinggevenden met urgente verzoeken. Deze progressieve aanpak zorgt ervoor dat medewerkers stapsgewijs kunnen groeien zonder overweldigd te raken, en dat het programma interessant blijft voor medewerkers die al vaardig zijn geworden in het herkennen van basis-scenario's.

Ethiek en transparantie zijn cruciaal voor het draagvlak en de effectiviteit van het programma. Hoewel medewerkers niet moeten weten wanneer precies een simulatie plaatsvindt om realistische resultaten te krijgen, moeten zij wel op de hoogte zijn van het bestaan van het programma en het doel ervan begrijpen. Vooraf communiceren dat de organisatie periodiek simulaties uitvoert als onderdeel van het awareness-programma voorkomt verwarring, frustratie en wantrouwen. De toon van communicatie moet benadrukken dat simulaties onderdeel zijn van een leerprogramma en niet bedoeld zijn om medewerkers te 'pakken', maar om hen te helpen hun vaardigheden te verbeteren. Het is belangrijk om duidelijk te maken dat het klikken op een gesimuleerde phishing-link geen negatieve gevolgen heeft voor de medewerker, maar juist een leermoment creëert. Binnen Microsoft 365 kan deze communicatie worden ondersteund via een centrale SharePoint-site of Teams-kanaal waar informatie wordt gedeeld over het programma, veelgestelde vragen worden beantwoord, successen worden gevierd en feedback wordt verzameld. Door medewerkers te betrekken bij het programma en hun input te vragen, ontstaat meer draagvlak en wordt het programma gezien als een ondersteunend instrument in plaats van een controlemechanisme. Deze aanpak draagt bij aan een positieve security-cultuur waarin medewerkers actief deelnemen aan beveiliging in plaats van alleen passief regels te volgen.

Programma-ontwerp en campagne-strategie

Het ontwerp van een volwassen Attack Simulation Training-programma vereist een gestructureerde meerjarenbenadering waarbij verschillende aanvalstypen, doelgroepen en scenario's worden afgedekt in een logische opbouw. Het programma moet modulair zijn opgebouwd zodat het kan meegroeien met de maturity van de organisatie en kan inspelen op emerging threats. Een praktische aanpak is om te beginnen met een baseline-campagne waarin alle medewerkers worden blootgesteld aan een standaard phishing-scenario om het uitgangsniveau te bepalen. Deze baseline wordt gebruikt om het huidige risiconiveau in kaart te brengen, risicoprofielen per afdeling of functie te identificeren en realistische doelstellingen te formuleren. Na de baseline volgen kwartaalcampagnes waarin verschillende aanvalstypen worden getest: Q1 focust op credential harvesting, Q2 op malware in bijlagen, Q3 op phishing via link en Q4 op geavanceerde scenario's zoals spear phishing of CEO-fraude. Naast deze organisatiebrede campagnes worden gerichte simulaties uitgevoerd voor specifieke doelgroepen zoals financiële afdelingen (die vaak worden getarget voor CEO-fraude), HR-afdelingen (die kwetsbaar zijn voor aanvallen die gebruikmaken van vertrouwde processen) of IT-afdelingen (die worden getarget voor geavanceerde technische aanvallen).

Elke campagne wordt voorafgegaan door scenario-ontwerp waarbij organisatie-specifieke elementen worden geïntegreerd om de realiteit te vergroten. Een gemeente kan bijvoorbeeld een simulatie creëren waarbij een medewerker wordt gevraagd om een 'urgente vergaderverzoek' te bevestigen voor een collegevergadering, terwijl een zorginstelling een simulatie kan creëren waarbij een medewerker wordt gevraagd om 'medische gegevens te verifiëren' via een externe link. Door simulaties aan te passen aan de context van de organisatie worden deze relevanter voor medewerkers en daardoor effectiever in het ontwikkelen van praktische vaardigheden. Het scenario-ontwerp moet echter ook ethische grenzen respecteren: simulaties mogen niet zo misleidend zijn dat medewerkers zich bedrogen voelen of dat vertrouwen in het security-team wordt geschaad. De balans tussen realisme en ethiek is essentieel voor het draagvlak en de langetermijneffectiviteit van het programma. Na het scenario-ontwerp wordt de doelgroep geselecteerd: alle medewerkers, specifieke afdelingen, gebruikers met bepaalde rollen of handmatig geselecteerde gebruikers. Voor de eerste simulaties is het aan te raden om met een kleinere groep te beginnen om het proces te testen voordat organisatiebrede simulaties worden uitgevoerd.

Een cruciaal onderdeel van campagne-ontwerp is de educatieve landingspagina die wordt getoond aan medewerkers die interageren met een gesimuleerde aanval. Deze pagina moet duidelijk uitleggen dat het om een simulatie gaat, welke signalen hadden kunnen wijzen op de aanval en wat de medewerker de volgende keer kan doen om soortgelijke aanvallen te voorkomen. Microsoft biedt standaard templates voor deze landingspagina's, maar deze kunnen worden aangepast met organisatie-specifieke informatie, huisstijl en aanvullende links naar trainingen of handleidingen. Het is belangrijk om de toon van de landingspagina respectvol en ondersteunend te houden, zodat medewerkers niet worden ontmoedigd maar juist gemotiveerd worden om te leren. Naast de landingspagina kan ook aanvullende educatieve content worden toegevoegd, zoals korte video's die uitleggen hoe phishing werkt, infographics met tips voor het herkennen van verdachte berichten, of links naar uitgebreidere trainingen over security awareness. Deze content moet direct beschikbaar zijn na interactie met een simulatie, maar ook toegankelijk blijven voor medewerkers die proactief hun vaardigheden willen verbeteren. Door deze elementen te combineren ontstaat een complete leerervaring die niet alleen feedback geeft op specifieke interacties, maar ook bouwt aan een bredere kennisbasis over cybersecurity.

Implementatie en technische configuratie in Microsoft 365 Defender

Gebruik PowerShell-script attack-simulation-training.ps1 (functie Invoke-AttackSimulationMonitoring) – Monitort Attack Simulation Training campagnes, analyseert resultaten en genereert rapportages over effectiviteit, trends en risicoprofielen per organisatieonderdeel..

De technische implementatie van Attack Simulation Training in Microsoft 365 begint met het verifiëren van licentievereisten. Organisaties hebben Microsoft Defender voor Office 365 Plan 2 of Microsoft 365 E5 licenties nodig om gebruik te kunnen maken van deze functionaliteit. Het is belangrijk om te controleren of alle beoogde gebruikers beschikken over de juiste licenties, omdat simulaties alleen kunnen worden uitgevoerd voor gebruikers met de vereiste licentie. Na verificatie van licenties kan in de Microsoft 365 Defender-portal worden genavigeerd naar Email & collaboration → Attack simulation training, waar een overzicht wordt getoond van bestaande simulaties, hun status (actief, gepland, voltooid), en basisstatistieken zoals het aantal gebruikers dat is blootgesteld aan de simulatie en het aantal gebruikers dat heeft geïnterageerd. Het platform biedt een wizard-achtige interface voor het aanmaken van nieuwe simulaties, waarbij stap voor stap een template wordt gekozen, scenario-details worden ingevuld, doelgroep wordt geselecteerd, timing wordt ingesteld en educatieve content wordt geconfigureerd.

Bij het aanmaken van een nieuwe simulatie wordt eerst een attack-template gekozen uit de beschikbare opties. Microsoft biedt templates voor verschillende aanvalstypen: credential harvesting waarbij gebruikers worden verleid om hun inloggegevens in te voeren op een nagemaakte website, malware in bijlagen waarbij gebruikers worden gevraagd om gevaarlijke bijlagen te openen, phishing via link waarbij gebruikers op verdachte links moeten klikken, drive-by download waarbij gebruikers naar kwaadaardige websites worden geleid, en OAuth consent grant waarbij gebruikers worden verleid om kwaadaardige apps toegang te verlenen tot hun Microsoft 365-account. Elke template kan worden aangepast met organisatie-specifieke details zoals een aangepaste onderwerpregel, berichttekst, afzender en scenario-details. Het is belangrijk om realistische scenario's te creëren die aansluiten bij de dagelijkse werkzaamheden van medewerkers, maar zonder te ver gaan in het misleiden van medewerkers dat zij schade ondervinden. De toon moet educatief zijn, niet bestraffend. Vervolgens wordt de doelgroep geselecteerd: alle medewerkers, specifieke Microsoft 365-groepen, gebruikers met bepaalde rollen of handmatig geselecteerde gebruikers. Het platform biedt de mogelijkheid om gebruikers uit te sluiten van simulaties, bijvoorbeeld security-teamleden die al zeer vaardig zijn in het herkennen van phishing, of gebruikers die recent een echte phishing-incident hebben meegemaakt en tijdelijk geen simulaties zouden moeten ontvangen.

Na configuratie wordt de simulatie gepland om op een bepaald moment te worden uitgevoerd, of direct gestart voor testdoeleinden. Het platform biedt de mogelijkheid om simulaties in fases uit te voeren, bijvoorbeeld door eerst een klein percentage van de doelgroep te targeten om te testen of alles goed werkt, en vervolgens de rest van de doelgroep te targeten. Dit stelt security-teams in staat om simulaties te testen voordat zij volledig worden uitgerold, en om eventuele problemen op te lossen zonder dat alle medewerkers worden blootgesteld. Tijdens de uitvoering van een simulatie kan real-time worden gemonitord hoeveel emails zijn verstuurd, hoeveel gebruikers op links hebben geklikt, hoeveel bijlagen hebben geopend en hoeveel verdachte berichten hebben gemeld. Deze real-time monitoring stelt security-teams in staat om snel te reageren op onverwachte situaties, bijvoorbeeld door een simulatie te pauzeren als er technische problemen optreden, of door aanvullende communicatie te versturen als blijkt dat medewerkers verward zijn over de simulatie. Na voltooiing van een simulatie genereert het platform automatisch uitgebreide rapportages die inzicht geven in de resultaten, trends over tijd en risicoprofielen per organisatieonderdeel.

Monitoring, rapportage en effectiviteitsmeting

Gebruik PowerShell-script attack-simulation-training.ps1 (functie Invoke-AttackSimulationReport) – Genereert een uitgebreid managementrapport met bevindingen, trends over tijd, risicoprofielen per organisatieonderdeel en aanbevelingen voor verbetering van het awareness-programma..

Effectieve monitoring van Attack Simulation Training vereist een combinatie van kwantitatieve metrics en kwalitatieve feedback die samen inzicht geven in zowel de technische resultaten als de menselijke ervaringen. De belangrijkste kwantitatieve indicatoren zijn het klikpercentage (het percentage medewerkers dat op een gesimuleerde link heeft geklikt), het openpercentage (het percentage medewerkers dat een gesimuleerde bijlage heeft geopend), het credential-entry percentage (het percentage medewerkers dat inloggegevens heeft ingevoerd op een nagemaakte website), het malware-download percentage (het percentage medewerkers dat malware zou hebben gedownload in een echte aanval), en het meldingspercentage (het percentage medewerkers dat een verdacht bericht heeft gemeld aan het security-team). Deze metrics moeten per simulatie worden bijgehouden en over tijd worden geanalyseerd om trends te identificeren. Een dalend klikpercentage en stijgend meldingspercentage wijzen op een effectief programma, terwijl een stabiel of stijgend klikpercentage aangeeft dat het programma moet worden bijgestuurd, bijvoorbeeld door complexere scenario's in te zetten, gerichte training te organiseren of communicatie te verbeteren.

Microsoft Defender voor Office 365 biedt uitgebreide rapportages waarin per simulatie wordt getoond hoeveel emails zijn verstuurd, hoeveel gebruikers op links hebben geklikt, hoeveel bijlagen hebben geopend, hoeveel credentials hebben ingevoerd en hoeveel verdachte berichten hebben gemeld. Deze data kan worden gefilterd op afdeling, functie, locatie of andere attributen, waardoor gerichte analyses mogelijk zijn. Het platform biedt ook vergelijkingsrapportages die laten zien hoe resultaten zich verhouden tot eerdere simulaties, waardoor trends over tijd zichtbaar worden. Naast organisatiebrede metrics is het waardevol om metrics per afdeling, functie of locatie te verzamelen, zodat gerichte interventies kunnen worden ingezet voor teams met verhoogd risico. Het PowerShell-script dat bij dit artikel hoort, kan worden gebruikt om data uit Microsoft 365 Defender te exporteren, te structureren en te analyseren, zodat trends zichtbaar worden en gerichte acties kunnen worden geformuleerd. Deze data kan worden gecombineerd met data uit andere bronnen, bijvoorbeeld HR-systemen om te analyseren of bepaalde functiegroepen of ervaringsniveaus meer risico vertonen, of uit incident management-systemen om te kijken of medewerkers die regelmatig klikken op gesimuleerde phishing-links ook betrokken zijn bij echte security-incidenten.

Kwalitatieve feedback wordt verzameld via evaluatiegesprekken met medewerkers, enquêtes na simulaties en input van leidinggevenden. Deze feedback helpt om te begrijpen waarom medewerkers op bepaalde simulaties klikken, welke scenario's als moeilijk of makkelijk worden ervaren, hoe de communicatie en educatieve content kunnen worden verbeterd, en of medewerkers het programma als ondersteunend of bestraffend ervaren. Het is belangrijk om deze feedback serieus te nemen en te gebruiken voor het verbeteren van het programma. Binnen Microsoft 365 kunnen deze gegevens worden gecombineerd in Power BI-dashboards die inzicht geven in de effectiviteit van het programma, trends over tijd en risicoprofielen per organisatieonderdeel. Deze dashboards kunnen worden gedeeld met het management en gebruikt worden tijdens audits om aan te tonen dat de organisatie actief werkt aan het verbeteren van security awareness en dat deze inspanningen meetbare resultaten opleveren. Het is ook belangrijk om successen te vieren: wanneer het klikpercentage daalt of het meldingspercentage stijgt, moet dit worden gecommuniceerd naar medewerkers om hen te motiveren en te laten zien dat hun inspanningen effect hebben. Deze positieve feedback loop draagt bij aan een cultuur waarin security awareness wordt gezien als een gezamenlijke verantwoordelijkheid en een positief aspect van de werkomgeving.

Best practices, governance en organisatorische inbedding

Een volwassen Attack Simulation Training-programma vereist duidelijke governance met expliciete rollen, verantwoordelijkheden en processen. Meestal is de CISO of security awareness-coördinator eigenaar van het programma en verantwoordelijk voor de strategische planning, doelstellingen en rapportage aan het management. De uitvoering kan worden gedaan door het security-team of een gespecialiseerde afdeling, waarbij Microsoft 365-beheerders de technische configuratie verzorgen en communicatie- of HR-afdelingen zorgen voor de interne communicatie en het verzamelen van feedback. Het is belangrijk om deze rollen expliciet vast te leggen in een RACI-matrix (Responsible, Accountable, Consulted, Informed) zodat iedereen weet wat er van hem wordt verwacht en wie verantwoordelijk is voor welke taken. Deze governance-structuur moet worden gedocumenteerd in het security awareness-plan dat deel uitmaakt van het BIO-controleplan, zodat tijdens audits duidelijk is hoe het programma is georganiseerd en wie verantwoordelijk is voor welke aspecten.

Het programma moet bovendien expliciet worden gekoppeld aan change management en releaseprocessen. Wanneer nieuwe phishing-technieken opkomen of wanneer de organisatie nieuwe systemen of processen implementeert die nieuwe aanvalsvectoren creëren, moeten simulaties worden aangepast om deze nieuwe contexten af te dekken. Bijvoorbeeld, wanneer een organisatie een nieuwe samenwerkingsplatform implementeert, kunnen simulaties worden aangepast om aanvallen te simuleren die gebruikmaken van dit platform. Wanneer er een nieuwe phishing-trend opkomt in de sector, bijvoorbeeld aanvallen die zich voordoen als leveranciers van specifieke software die veel wordt gebruikt, moeten simulaties worden aangepast om deze trends af te dekken. Deze flexibiliteit en responsiviteit zijn essentieel voor het relevant blijven van het programma in een snel veranderende threat landscape. Het programma moet ook worden geïntegreerd met andere security-processen, bijvoorbeeld door gebruikers die regelmatig klikken op gesimuleerde phishing-links automatisch te escaleren naar het security-team voor aanvullende ondersteuning, of door resultaten van simulaties te gebruiken om gerichte training te organiseren voor teams met verhoogd risico.

Voor de evaluatie en rapportage is het belangrijk om een vaste cyclus te hanteren waarin resultaten worden geanalyseerd, trends worden geïdentificeerd en bijsturingen worden voorgesteld. Deze resultaten moeten periodiek worden gedeeld met het management, zodat zij inzicht hebben in de effectiviteit van het programma en kunnen beslissen over eventuele investeringen in aanvullende training of tools. Het managementrapport moet zowel kwantitatieve metrics bevatten (zoals klikpercentages, meldingscijfers en trends over tijd) als kwalitatieve inzichten (zoals feedback van medewerkers, lessons learned en aanbevelingen voor verbetering). Het rapport moet ook expliciet koppelen aan compliance-vereisten, bijvoorbeeld door te laten zien hoe het programma bijdraagt aan BIO-normen, AVG-vereisten en NIS2-verplichtingen. Door het programma op deze manier te structureren en te documenteren, ontstaat een professioneel en duurzaam programma dat aantoonbaar bijdraagt aan de beveiliging van de organisatie en voldoet aan de eisen van toezichthouders en auditors. Dit vormt de basis voor een volwassen security awareness-cultuur waarin medewerkers actief deelnemen aan beveiliging en waarin security awareness wordt gezien als een continue verbeteringsproces in plaats van een eenmalige oefening.

Compliance en framework mapping

Attack Simulation Training vormt een essentieel onderdeel van security awareness-programma's en is relevant voor compliance met verschillende security frameworks. CIS Microsoft 365 Foundations Benchmark - control 6.5 (Zorg ervoor dat security awareness training wordt uitgevoerd en dat de effectiviteit wordt gemeten via phishing simulaties), control 6.6 (Implementeer een gestructureerd security awareness programma met regelmatige training en simulaties), en control 6.7 (Monitor en meet de effectiviteit van security awareness training). BIO Baseline Informatiebeveiliging Overheid - Thema 7.01.01 (Awareness - Continue bewustwording van medewerkers over security risico's), Thema 7.01.02 (Training - Regelmatige security training en oefeningen), en Thema 13.02.03 (Email security - Phishing awareness en training). ISO 27001:2022 A.7.4 (Human resource security - Awareness, training en educatie voor security), A.8.2 (User endpoint devices - Awareness over security risico's), en A.13.2.1 (Information transfer policies - Awareness over email security). NIS2 Artikel 21 (Cybersecurity risicobeheer - Awareness en training als onderdeel van risicobeheer) en Artikel 23 (Incident response - Training van medewerkers voor incident response). AVG Artikel 32 (Beveiliging van verwerking - Awareness en training van medewerkers als organisatorische maatregel tegen data breaches). Attack Simulation Training moet worden behandeld als een kritische security control die regelmatig wordt geëvalueerd, getest en bijgestuurd op basis van emerging threats en organisatiebehoeften. Alle simulaties en resultaten moeten worden gedocumenteerd voor audit doeleinden en de effectiviteit moet worden gemeten via kwantitatieve metrics en kwalitatieve feedback. Het programma moet expliciet worden gekoppeld aan het BIO-controleplan, het security awareness-plan en het incident response-plan, zodat tijdens audits duidelijk is hoe het programma bijdraagt aan compliance en risicoreductie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Attack Simulation Training: Strategische Inzet van Gesimuleerde Cyberaanvallen voor Security Awareness .DESCRIPTION Monitort en rapporteert over Attack Simulation Training campagnes in Microsoft Defender voor Office 365. Ondersteunt organisaties bij het meten van de effectiviteit van security awareness training via gesimuleerde phishing-aanvallen en andere attack scenario's als onderdeel van een structureel awareness-programma binnen de Nederlandse Baseline voor Veilige Cloud. .NOTES Filename: attack-simulation-training.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-11-27 Last Modified: 2025-11-27 Version: 1.0 Related JSON: content/m365/security-awareness/attack-simulation-training.json .LINK https://github.com/[org]/m365-tenant-best-practise .EXAMPLE .\attack-simulation-training.ps1 -Monitoring Controleert Attack Simulation Training campagnes en rapporteert over effectiviteit .EXAMPLE .\attack-simulation-training.ps1 -DebugMode Voert een lokale debug-run uit met voorbeeldresultaten zonder verbinding met Microsoft 365 .EXAMPLE .\attack-simulation-training.ps1 -Report -OutputPath .\attack-simulation-rapport.txt Genereert een managementrapport op basis van simulatie-resultaten #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(HelpMessage = "Voer monitoring uit op Attack Simulation Training campagnes")] [switch]$Monitoring, [Parameter(HelpMessage = "Genereer een samenvattend rapport op basis van simulatie-resultaten")] [switch]$Report, [Parameter(HelpMessage = "Pad naar het rapportbestand dat moet worden aangemaakt (alleen bij -Report)")] [string]$OutputPath, [Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata, zonder verbinding met Microsoft 365")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Connect-RequiredServices { <# .SYNOPSIS Verbindt met benodigde Microsoft services #> [CmdletBinding()] param() if ($DebugMode) { Write-Verbose "DebugMode: overslaan van verbindingen" return } Write-Verbose "Controleren van Microsoft Graph PowerShell module..." $graphModule = Get-Module -ListAvailable -Name "Microsoft.Graph.Identity.SignIns" if (-not $graphModule) { Write-Host " Waarschuwing: Microsoft.Graph.Identity.SignIns module niet gevonden" -ForegroundColor Yellow Write-Host " Installeer met: Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser" -ForegroundColor Yellow throw "Microsoft Graph PowerShell module vereist voor Attack Simulation Training monitoring" } Write-Verbose "Verbinding maken met Microsoft Graph..." try { $context = Get-MgContext -ErrorAction SilentlyContinue if (-not $context) { Connect-MgGraph -Scopes "AttackSimulation.Read.All", "Reports.Read.All" -ErrorAction Stop | Out-Null Write-Verbose "Verbonden met Microsoft Graph" } else { Write-Verbose "Al verbonden met Microsoft Graph" } } catch { Write-Error "Kon niet verbinden met Microsoft Graph: $_" Write-Host " Vereiste scopes: AttackSimulation.Read.All, Reports.Read.All" -ForegroundColor Yellow throw } } function Get-AttackSimulationCampaigns { <# .SYNOPSIS Haalt Attack Simulation Training campagnes op .OUTPUTS Array van campagne-objecten #> [CmdletBinding()] param() if ($DebugMode) { Write-Verbose "DebugMode: retourneren van voorbeelddata" return @( [PSCustomObject]@{ Id = "example-campaign-1" DisplayName = "Q1 2025 Phishing Baseline" Status = "Completed" AttackTechnique = "CredentialHarvesting" StartDateTime = (Get-Date).AddDays(-30) EndDateTime = (Get-Date).AddDays(-20) CreatedBy = [PSCustomObject]@{ DisplayName = "Security Team" } SimulationUsers = 150 CompletedUsers = 150 ClickedUsers = 25 CompromisedUsers = 10 ReportedUsers = 15 }, [PSCustomObject]@{ Id = "example-campaign-2" DisplayName = "Q1 2025 Malware Training" Status = "Scheduled" AttackTechnique = "MalwareAttachment" StartDateTime = (Get-Date).AddDays(5) EndDateTime = (Get-Date).AddDays(15) CreatedBy = [PSCustomObject]@{ DisplayName = "Security Team" } SimulationUsers = 150 CompletedUsers = 0 ClickedUsers = 0 CompromisedUsers = 0 ReportedUsers = 0 } ) } Write-Verbose "Ophalen van Attack Simulation Training campagnes..." try { Write-Host " Opmerking: Directe PowerShell cmdlets voor Attack Simulation Training zijn beperkt" -ForegroundColor Yellow Write-Host " Gebruik Microsoft 365 Defender portal voor volledige functionaliteit:" -ForegroundColor Yellow Write-Host " https://security.microsoft.com/attacksimulator" -ForegroundColor Cyan return @() } catch { Write-Error "Fout bij ophalen van Attack Simulation Training campagnes: $_" throw } } function Test-AttackSimulationTraining { <# .SYNOPSIS Test of Attack Simulation Training is geconfigureerd en actief .OUTPUTS PSCustomObject met compliance resultaten #> [CmdletBinding()] param() Write-Verbose "Controleren van Attack Simulation Training configuratie..." $results = [PSCustomObject]@{ IsCompliant = $false IsConfigured = $false TotalCampaigns = 0 ActiveCampaigns = 0 CompletedCampaigns = 0 ScheduledCampaigns = 0 CampaignDetails = @() MissingFeatures = @() Recommendations = @() AverageClickRate = 0 AverageReportRate = 0 } if ($DebugMode) { Write-Host "`n DebugMode: Voorbeeld Attack Simulation Training status" -ForegroundColor Yellow $campaigns = Get-AttackSimulationCampaigns $results.IsConfigured = $true $results.TotalCampaigns = $campaigns.Count $results.CompletedCampaigns = ($campaigns | Where-Object { $_.Status -eq "Completed" }).Count $results.ScheduledCampaigns = ($campaigns | Where-Object { $_.Status -eq "Scheduled" }).Count $results.ActiveCampaigns = ($campaigns | Where-Object { $_.Status -eq "InProgress" }).Count $results.CampaignDetails = $campaigns $completedCampaigns = $campaigns | Where-Object { $_.Status -eq "Completed" } if ($completedCampaigns.Count -gt 0) { $totalClicked = ($completedCampaigns | Measure-Object -Property ClickedUsers -Sum).Sum $totalSimulated = ($completedCampaigns | Measure-Object -Property SimulationUsers -Sum).Sum $totalReported = ($completedCampaigns | Measure-Object -Property ReportedUsers -Sum).Sum if ($totalSimulated -gt 0) { $results.AverageClickRate = [math]::Round(($totalClicked / $totalSimulated) * 100, 2) $results.AverageReportRate = [math]::Round(($totalReported / $totalSimulated) * 100, 2) } } if ($results.TotalCampaigns -gt 0) { $results.IsCompliant = $true Write-Host " Attack Simulation Training is geconfigureerd" -ForegroundColor Green Write-Host " Totaal campagnes: $($results.TotalCampaigns)" -ForegroundColor Green Write-Host " Voltooide campagnes: $($results.CompletedCampaigns)" -ForegroundColor Green } else { $results.MissingFeatures += "Geen Attack Simulation Training campagnes gevonden" Write-Host " Geen campagnes gevonden" -ForegroundColor Red } return $results } try { $campaigns = Get-AttackSimulationCampaigns if ($campaigns -and $campaigns.Count -gt 0) { $results.IsConfigured = $true $results.TotalCampaigns = $campaigns.Count $results.CompletedCampaigns = ($campaigns | Where-Object { $_.Status -eq "Completed" }).Count $results.ScheduledCampaigns = ($campaigns | Where-Object { $_.Status -eq "Scheduled" }).Count $results.ActiveCampaigns = ($campaigns | Where-Object { $_.Status -eq "InProgress" }).Count $results.CampaignDetails = $campaigns Write-Host "`n Attack Simulation Training Campagnes:" -ForegroundColor Cyan foreach ($campaign in $campaigns) { $statusColor = switch ($campaign.Status) { "Completed" { "Green" } "InProgress" { "Yellow" } "Scheduled" { "Cyan" } default { "Gray" } } Write-Host " $($campaign.DisplayName) - Status: $($campaign.Status)" -ForegroundColor $statusColor Write-Host " Type: $($campaign.AttackTechnique)" -ForegroundColor Gray Write-Host " Gebruikers: $($campaign.SimulationUsers)" -ForegroundColor Gray if ($campaign.Status -eq "Completed") { $clickRate = if ($campaign.SimulationUsers -gt 0) { [math]::Round(($campaign.ClickedUsers / $campaign.SimulationUsers) * 100, 2) } else { 0 } $reportRate = if ($campaign.SimulationUsers -gt 0 -and $campaign.ReportedUsers) { [math]::Round(($campaign.ReportedUsers / $campaign.SimulationUsers) * 100, 2) } else { 0 } Write-Host " Klikpercentage: $clickRate%" -ForegroundColor $(if ($clickRate -lt 10) { "Green" } elseif ($clickRate -lt 20) { "Yellow" } else { "Red" }) if ($reportRate -gt 0) { Write-Host " Meldingspercentage: $reportRate%" -ForegroundColor $(if ($reportRate -gt 40) { "Green" } elseif ($reportRate -gt 20) { "Yellow" } else { "Red" }) } } } $completedCampaigns = $campaigns | Where-Object { $_.Status -eq "Completed" } if ($completedCampaigns.Count -gt 0) { $totalClicked = ($completedCampaigns | Measure-Object -Property ClickedUsers -Sum).Sum $totalSimulated = ($completedCampaigns | Measure-Object -Property SimulationUsers -Sum).Sum $totalReported = ($completedCampaigns | Where-Object { $_.ReportedUsers } | Measure-Object -Property ReportedUsers -Sum).Sum if ($totalSimulated -gt 0) { $results.AverageClickRate = [math]::Round(($totalClicked / $totalSimulated) * 100, 2) if ($totalReported -gt 0) { $results.AverageReportRate = [math]::Round(($totalReported / $totalSimulated) * 100, 2) } } } if ($results.CompletedCampaigns -gt 0) { $results.IsCompliant = $true $results.Recommendations += "Attack Simulation Training is actief. Monitor trends over tijd om effectiviteit te meten." } } else { $results.MissingFeatures += "Geen Attack Simulation Training campagnes gevonden" Write-Host " Geen Attack Simulation Training campagnes gevonden" -ForegroundColor Red $results.Recommendations += "Start met een baseline-simulatie om het uitgangsniveau te bepalen" $results.Recommendations += "Plan regelmatige simulaties (bijvoorbeeld maandelijks) voor continue awareness" } return $results } catch { Write-Error "Fout bij controleren van Attack Simulation Training: $_" throw } } function Invoke-AttackSimulationMonitoring { <# .SYNOPSIS Monitort Attack Simulation Training campagnes en rapporteert over effectiviteit #> [CmdletBinding()] param() Write-Host "`nMonitoring: Attack Simulation Training" -ForegroundColor Yellow Write-Host "=======================================" -ForegroundColor Yellow $result = Test-AttackSimulationTraining Write-Host "`nResultaten:" -ForegroundColor Cyan Write-Host " Geconfigureerd: $($result.IsConfigured)" -ForegroundColor $(if ($result.IsConfigured) { "Green" } else { "Red" }) Write-Host " Totaal campagnes: $($result.TotalCampaigns)" -ForegroundColor Cyan Write-Host " Actieve campagnes: $($result.ActiveCampaigns)" -ForegroundColor $(if ($result.ActiveCampaigns -gt 0) { "Yellow" } else { "Gray" }) Write-Host " Voltooide campagnes: $($result.CompletedCampaigns)" -ForegroundColor $(if ($result.CompletedCampaigns -gt 0) { "Green" } else { "Yellow" }) Write-Host " Geplande campagnes: $($result.ScheduledCampaigns)" -ForegroundColor $(if ($result.ScheduledCampaigns -gt 0) { "Cyan" } else { "Gray" }) if ($result.AverageClickRate -gt 0) { Write-Host " Gemiddeld klikpercentage: $($result.AverageClickRate)%" -ForegroundColor $(if ($result.AverageClickRate -lt 10) { "Green" } elseif ($result.AverageClickRate -lt 20) { "Yellow" } else { "Red" }) } if ($result.AverageReportRate -gt 0) { Write-Host " Gemiddeld meldingspercentage: $($result.AverageReportRate)%" -ForegroundColor $(if ($result.AverageReportRate -gt 40) { "Green" } elseif ($result.AverageReportRate -gt 20) { "Yellow" } else { "Red" }) } if ($result.MissingFeatures.Count -gt 0) { Write-Host "`n Ontbrekende features:" -ForegroundColor Red foreach ($feature in $result.MissingFeatures) { Write-Host " - $feature" -ForegroundColor Red } } if ($result.Recommendations.Count -gt 0) { Write-Host "`n Aanbevelingen:" -ForegroundColor Cyan foreach ($recommendation in $result.Recommendations) { Write-Host " - $recommendation" -ForegroundColor Yellow } } Write-Host "`n Belangrijke opmerking:" -ForegroundColor Cyan Write-Host " Attack Simulation Training vereist Microsoft Defender voor Office 365 Plan 2" -ForegroundColor Yellow Write-Host " Volledige functionaliteit beschikbaar via: https://security.microsoft.com/attacksimulator" -ForegroundColor Cyan if ($result.IsCompliant) { Write-Host "`nCOMPLIANT - Attack Simulation Training is geconfigureerd en actief" -ForegroundColor Green exit 0 } else { Write-Host "`nATTENTIE - Attack Simulation Training vereist configuratie" -ForegroundColor Yellow Write-Host " Configureer campagnes via Microsoft 365 Defender portal" -ForegroundColor Yellow exit 1 } } function Invoke-AttackSimulationReport { <# .SYNOPSIS Genereert een uitgebreid managementrapport op basis van Attack Simulation Training resultaten .PARAMETER Result Het resultaatobject dat is teruggegeven door Test-AttackSimulationTraining. .PARAMETER OutputPath Pad naar het tekstbestand waarin het rapport wordt opgeslagen. #> [CmdletBinding()] param( [Parameter(Mandatory = $true)] [pscustomobject]$Result, [Parameter(Mandatory = $true)] [string]$OutputPath ) $folder = Split-Path -Path $OutputPath -Parent if (-not [string]::IsNullOrWhiteSpace($folder) -and -not (Test-Path -Path $folder)) { New-Item -Path $folder -ItemType Directory -Force | Out-Null } $lines = @() $lines += "Attack Simulation Training - Managementrapport" $lines += "Nederlandse Baseline voor Veilige Cloud" $lines += ("Datum: {0}" -f (Get-Date -Format "yyyy-MM-dd HH:mm")) $lines += "" $lines += "1. Samenvatting van de status" $lines += (" Geconfigureerd: {0}" -f $Result.IsConfigured) $lines += (" Totaal campagnes: {0}" -f $Result.TotalCampaigns) $lines += (" Actieve campagnes: {0}" -f $Result.ActiveCampaigns) $lines += (" Voltooide campagnes: {0}" -f $Result.CompletedCampaigns) $lines += (" Geplande campagnes: {0}" -f $Result.ScheduledCampaigns) if ($Result.AverageClickRate -gt 0) { $lines += (" Gemiddeld klikpercentage: {0}%" -f $Result.AverageClickRate) } if ($Result.AverageReportRate -gt 0) { $lines += (" Gemiddeld meldingspercentage: {0}%" -f $Result.AverageReportRate) } $lines += "" $lines += "2. Campagne Details" if ($Result.CampaignDetails.Count -gt 0) { foreach ($campaign in $Result.CampaignDetails) { $lines += (" - {0}" -f $campaign.DisplayName) $lines += (" Type: {0}" -f $campaign.AttackTechnique) $lines += (" Status: {0}" -f $campaign.Status) if ($campaign.Status -eq "Completed") { $clickRate = if ($campaign.SimulationUsers -gt 0) { [math]::Round(($campaign.ClickedUsers / $campaign.SimulationUsers) * 100, 2) } else { 0 } $reportRate = if ($campaign.SimulationUsers -gt 0 -and $campaign.ReportedUsers) { [math]::Round(($campaign.ReportedUsers / $campaign.SimulationUsers) * 100, 2) } else { 0 } $lines += (" Klikpercentage: {0}%" -f $clickRate) if ($reportRate -gt 0) { $lines += (" Meldingspercentage: {0}%" -f $reportRate) } $lines += (" Gebruikers: {0} gesimuleerd, {1} geklikt, {2} gecompromitteerd" -f $campaign.SimulationUsers, $campaign.ClickedUsers, $campaign.CompromisedUsers) } } } else { $lines += " Geen campagnes gevonden" } $lines += "" $lines += "3. Aanbevelingen" if ($Result.Recommendations.Count -gt 0) { foreach ($recommendation in $Result.Recommendations) { $lines += (" - {0}" -f $recommendation) } } else { $lines += " Geen specifieke aanbevelingen" } $lines += "" $lines += "4. Interpretatie" $lines += " Dit rapport geeft een overzicht van Attack Simulation Training campagnes" $lines += " zoals beschreven in de Nederlandse Baseline voor Veilige Cloud." $lines += " Het vervangt geen volledige analyse, maar kan worden gebruikt om" $lines += " voortgang richting bestuur en directie te rapporteren." $lines += "" $lines += " Voor gedetailleerde analyses, gebruik de Microsoft 365 Defender portal:" $lines += " https://security.microsoft.com/attacksimulator" $lines | Out-File -FilePath $OutputPath -Encoding UTF8 -Force Write-Host "Managementrapport aangemaakt: $OutputPath" -ForegroundColor Green } try { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Attack Simulation Training" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er worden geen verbindingen gemaakt met Microsoft 365." -ForegroundColor Yellow Write-Host "" } if ($Monitoring) { Connect-RequiredServices Invoke-AttackSimulationMonitoring } elseif ($Report) { Connect-RequiredServices $result = Test-AttackSimulationTraining if ([string]::IsNullOrWhiteSpace($OutputPath)) { throw "Parameter -OutputPath is verplicht bij gebruik van -Report." } Invoke-AttackSimulationReport -Result $result -OutputPath $OutputPath } else { Connect-RequiredServices $result = Test-AttackSimulationTraining if ($result.IsCompliant) { Write-Host "`nCOMPLIANT - Attack Simulation Training is geconfigureerd" -ForegroundColor Green } else { Write-Host "`nATTENTIE - Attack Simulation Training vereist configuratie" -ForegroundColor Yellow } Write-Host "`nGebruik een van de volgende opties:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer Attack Simulation Training campagnes en rapporteer status" -ForegroundColor Yellow Write-Host " -Report Genereer een managementrapport op basis van de status (vereist -OutputPath)" -ForegroundColor Yellow Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test" -ForegroundColor Yellow return $result } } catch { Write-Error "Fout in attack-simulation-training.ps1: $_" throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder Attack Simulation Training blijven medewerkers kwetsbaar voor phishing-aanvallen en social engineering, wat leidt tot account takeovers, data breaches, financiële verliezen en reputatieschade. Meer dan 90% van alle succesvolle cyberaanvallen begint met een phishing-email. Passieve training alleen is onvoldoende omdat kennis zonder herhaalde toepassing snel wegzakt. Voor Nederlandse publieke organisaties is het implementeren van een gestructureerd programma bovendien essentieel voor naleving van BIO-normen, AVG-vereisten en NIS2-verplichtingen.

Management Samenvatting

Implementeer een structureel Attack Simulation Training-programma in Microsoft Defender voor Office 365 voor actieve, realistische security awareness training met meetbare gedragsverandering. Gebruik vooraf gebouwde attack-templates voor credential harvesting, malware, phishing links en andere scenario's in een gestructureerde meerjarenbenadering. Monitor effectiviteit via uitgebreide rapportages, analyseer trends over tijd en pas training aan op basis van resultaten. Koppel het programma expliciet aan compliance-vereisten en risicobeoordeling. Voldoet aan CIS 6.5-6.7 (L1), BIO 7.01.01/7.01.02, ISO 27001 A.7.4/A.8.2, NIS2, AVG Artikel 32. Implementatie: 16 uur technisch + 32 uur voor governance, planning, communicatie en programma-ontwerp. CRITICAL voor security awareness en risicoreductie.