Microsoft Learn module over cybersecurity

Ingediend door Dirk Hornstra op 16-feb-2026 22:41

Door mijn voorbereidingen voor de SC-900 Fundamentals, kwam ik bij een module een link tegen naar deze pagina over cryptografie. Bij die module kun  je ook zien onder welk "groter" onderdeel dat valt en dat is in dit geval het beschrijven van de concepten van cybersecurity.

Officieel staat er op mijn planning dat ik elke woensdagavond met Microsoft Learn aan de slag ga, vaak kom ik daar niet aan toe. Maar op "deze dag", 3 december 2025, neem ik er wel de tijd voor. Ik ben deze middag namelijk afgereisd naar Den Helder om daar mijn SC-900 examen te doen. En dat is "niet voor niets", ik ben geslaagd, zoals je helemaal onderaan deze blogpost kunt lezen!

 

Laat ik mijn kennis over cybersecurity uitbreiden met wat hier gedeeld wordt en via deze blog-post deel ik dat ook weer met jullie, zodat iedereen weer een stukje "wijzer" is. Dat is ook de reden dat ik probeer om elke woensdag een overzicht van security-zaken hier te delen, vaak zijn phishing, hacks, social engineering, zero-day-hacks heel ingenieus, maar ook "heel gemeen" en verbaas/schrik je van wat er allemaal mogelijk is. En zorgt het delen van die informatie ervoor dat iedereen (inclusief ik zelf...) eigenlijk (bijna) nooit meer op linkjes in e-mails gaat klikken, heel kritisch gaat kijken of je dat ene bestand nu wel of niet gaat downloaden en ook gaat nadenken over een strategie als je wel getroffen wordt. Heb je jouw back-ups op orde? Staan jouw inloggegevens alleen in een mailbox waar je nu niet meer bij kunt? Het zijn geen leuke dingen om over na te denken (en we hebben het toch al zo druk met 1.000 en 1 dingen), maar als je systeem/netwerk/systemen in puin liggen, dan is het te laat.

We gaan deze 6 modules doorlopen:

Describe basic cybersecurity threats, attacks, and mitigations
Cyberattacks are impacting individuals and businesses at alarming rates. Being informed about the evolving threat landscape and common types of attacks are key to learning how to protect against attacks.

We beginnen met de begrippen.

Een cyberaanval is gedefinieerd als een poging om illegaal toegang te krijgen tot een computer of computersysteem om schade of leed te veroorzaken. Inmiddels is dat wat beperkt, want het hoeft zich niet alleen tot een computer te beperken. Het kan op zich op ieder "elektronisch apparaat" zijn.

Het resultaat kan zijn:

  • je data en processen zijn geblokkeerd, je moet losgeld betalen.
  • vitale informatie is weg, waarmee serieus "leed" wordt geleden.
  • informatie gestolen
  • privé informatie die op straat belandt
  • essentiële processen en systemen die niet meer werken waardoor je bedrijf het risico loopt failliet te gaan


Een cybercrimineel kan 1 persoon zijn, een groep of een overheidsinstantie.

Met cybersecurity wordt geprobeerd om de driehoek CIA in stand te houden:

  • confidentiality: informatie alleen zichtbaar bij mensen die de juiste rechten hebben
  • integrity: informatie wordt alleen aangepast door de mensen/processen die de juiste rechten hebben
  • availability: informatie zou zichtbaar en beschikbaar moeten zijn op het moment dat het nodig is

 

Het "thread-landschap" is groot. Mail, sociale media, mobiele toestellen, de technische infrastructuur van het bedrijf, cloud-diensten, het personeel.

Een "security breach" is het event waarbij iemand toegang krijgt waar hij/zij dit niet had mogen hebben. Dan kan via social engineering aanvallen, browser aanvallen, password aanvallen (even brute-forcen).

Dan door naar malware. Malware bestaat uit 2 onderdelen;
Propagation mechanisme: zorg dat het zich verspreid over het hele netwerk. Dat kan als virus (bijlage in een mail, deze moet je actief openen), een worm (deze gaat zelfstandig door je netwerk bepaalde zaken aanpassen), trojan: je denkt een handig tooltje te downloaden, maar daarnaast haal je ook een DLL binnen die informatie van jouw schijf naar een online database upload.

Payload: ransomware - blokkeert/encrypt je bestanden en laat je eerst losgeld betalen, spyware - monitort jouw toetsenbord-aanslagen en kan zo jouw wachtwoorden doorsturen naar de hacker, botnet - laat bijvoorbeeld een crypto-miner op jouw pc draaien. Hiermee verdient de hacker geld, jouw pc wordt trager, verbruikt meer energie e.d.

Hoe kun  je van deze ellende afkomen (of nog liever: voorkomen)?
MFA - multifactor authenticatie. Een gebruikersnaam en/of wachtwoord kan gelekt worden, maar die "3e bevestiging" zorgt voor dat stukje extra beveiliging.

Browser security - veel mensen gebruiken hun browser dagelijks. En zoals je in mijn blogposts kunt lezen, er zijn heel vaak browser plug-ins die niet veilig zijn. Organisaties kunnen in hun policy's instellen dat:

  • de installatie van niet geauthenticeerde extensief of add-ons geblokkeerd worden
  • alleen toegestane browsers op hun devices geïnstalleerd worden
  • bepaalde sites kunnen geblokkeerd worden met web content filters
  • en... browsers moeten up-to-date gehouden worden

 

Je personeel opleiden - als iemand niet weet wat voor narigheid bepaalde zaken kunnen veroorzaken, kun je het hem/haar ook niet kwalijk nemen als er wat fout gaat. Organisaties kunnen hun medewerkers instrueren hoe:

  • je verdachte onderdelen in een bericht kunt herkennen
  • nooit moet reageren met persoonlijke informatie op verzoeken van buiten de organisatie
  • je device moet locken als je niet op je plek zit
  • alleen data op jouw pc, laptop, tablet, telefoon opslaat, deelt en verwijdert wat voldoet aan de regels van de organisatie

 

Threat intelligence - bedrijven laten ook hun eigen systemen scannen, of nemen diensten af bij een security-partner die scans/controles kan uitvoeren.

 

Describe concepts of cryptography
Cryptography is foundational to protecting the confidentiality, integrity, and availability of information; and defending against cyberattacks. Throughout this module, you'll learn about the different elements of cryptography and their application in cybsecurity.

We beginnen met cryptografie. We gaan terug in de historie. Cryptografie is afgeleid van "kryptos", wat "verborgen" of "geheim" betekent. 

Uit de tijd van de Egyptenaren en de Romeinen, want als een boodschapper onderweg overvallen werd, kon hij "de boodschap niet verklappen", omdat die op een bepaalde manier versleuteld was.

In onze huidige digitale samenleving is cryptografie een standaard onderdeel van ons leven. Elk HTTPS-certificaat op een website zorgt ervoor dat de data "versleuteld" over de lijn gaat. Als je draadloos verbinding maakt met je router, modem zorgt cryptografie dat dit veilig gebeurt.

Met onze mobiele telefoon versturen we allemaal tekstberichten, de mensen die hier al wat langer mee werken weten dat op een bepaald moment de melding in je Whatsapp-gesprek kwam "dat data versleuteld werd".

Op het moment dat je bericht nog niet versleuteld is, wordt dat "plaintext" genoemd. Na versleuteling is het "ciphertext".

Je hebt 2 verschillende sleutels, symmetrische sleutels en asymmetrische sleutels.

Bij symmetrische sleutels moeten beide kanten dezelfde sleutel hebben. We zien dat als er grote aantallen gebruikers zijn, dat ook zorgt voor een grote hoeveelheid sleutels. Bij 2 personen heb je maar 1 sleutel nodig, bij 3 personen 3 sleutels, maar bij 4 personen heb je 6 sleutels nodig. De formule is p * (p-1) / 2. Bij 1.000 werknemers heb je 499.500 sleutels nodig. 

Het alternatief is asymmetrische sleutels, oftewel "public-key encryptie". 
Deze techniek is in 1970 ontwikkeld. Je maakt 2 sleutels, de private en de public key. Die private key, die bewaar je op een geheime plek waar alleen jij bij kunt. De public key kan je met iedereen delen. Bij die 1.000 werknemers, hoeft alleen elke werknemers maar een private en public key te genereren, dus dat levert 2.000 sleutelparen op. Een stuk minder!

Persoon A geeft persoon B zijn public key. Met die key versleutelt persoon B zijn boodschap en geeft die boodschap door aan persoon A. Persoon A kan vervolgens met zijn private key de boodschap ontcijferen.

  • DES / Triple-DES: eerste symmetrische encryptie standaarden.
  • AES: vervanger DES en Triple-DES en nog veel gebruikt.
  • RSA: één van de eerste asymmetrische encryptie-standaarden en nog veel gebruikt.

 

Een manier om te garanderen dat er niet met de inhoudelijke tekst/content "geprutst" is, is door het toevoegen van een hash. Een algoritme moet dezelfde hash genereren als de content niet aangepast is.

Je kunt hier ook gebruik maken van een "digital signing service", zoals DocuSign en Adobe Sign. Stel, persoon A heeft een document. Daar voegt hij een time-stamped hash aan toe. Die hash wordt geëncrypt met de private key van persoon A. De "signing service" voegt de hash toe aan het originele document (dat document is gewoon leesbaar). Zowel het document als de public key worden naar persoon B gestuurd. 

Persoon B ontvangt het document en gebruikt de "signing service" om de hash van persoon A op te vragen en om een nieuwe hash voor het originele document op te vragen. Met de public key van persoon A wordt de hash gedecrypt. Als die hash overeenkomt met de nieuwe hash die opgevraagd wordt, dan is het document oké.

Met een digitaal certificaat (uitgegeven door een certificate authority (CA)) kun je ondervangen dat iemand jouw data "tijdens transport" kan uitlezen, aanpassen.

De algemene duur van een certificaat is een jaar, waarna het certificaat verloopt. 

Describe authentication and authorization in cybersecurity
Secure authentication and authorization are a cornerstone of protecting against cybersecurity threats. Learn about common identity-based attacks, different authentication methods, and ways to protect against unauthorized access.

Het deel over authenticatie (bewijs wie je bent) en authorisatie (dit mag je doen).

Authenticatie wordt onderverdeeld naar 3 types, namelijk "iets wat je weet", "iets wat je hebt" en "iets wat je bent". In het eerste geval een wachtwoord, het tweede een USB key en het derde een vingerafdruk of gezichtsherkenning.

Je hebt verschillende soorten aanvallen die aanvallers gebruiken om door de authenticatie-muur te breken. Dat kan met:

  • brute force attack: probeer maar duizenden gebruikersnamen en wachtwoorden, het zal wel een keer lukken. Rate limiting, monitoren van "veel mislukte pogingen" kan je hierbij helpen.
  • dictionary attack: een soort brute force attack, maar dan met veel gebruikte woorden. Om dit type aanvallen te keren wordt aangeraden om "vreemde tekens, cijfers en meerdere woorden" in je wachtwoord te gebruiken.
  • credential stuffing: veel mensen gebruiken dezelfde gebruikersnaam/wachtwoord combinatie voor meerdere sites. Als gegevens gelekt zijn bij site A, proberen hackers met die gegevens ook in te loggen op andere sites. Dus geen wachtwoorden hergebruiken en regelmatig aanpassen, zeker na een "data-breach".
  • keylogging: shit op je pc waarbij je toetsaanslagen gelogd worden. Dit geldt niet alleen voor computers, er zijn ook van die installaties die over het toetsenbord van een geldautomaat "heen gaan" en waarbij je dus jouw pincode invoert in dat apparaat...
  • sociale engineering: phishing - mailtje die afkomstig lijkt van een betrouwbare bron, je komt op de Microsoft inlogpagina waar je inlogt - maar dat is niet de echte Microsoft inlogpagina...
  • pretexting - je wordt gebeld door *de bank* en je moet je pincode geven ter controle. Een leuke quiz op Facebook, maak een naam voor jouw band met de naam van jouw eerste huisdier en de plaats waar je geboren bent (zijn dat niet de controle-vragen voor je Apple of Microsoft account...).
  • bating - maak nu kans op deze auto, doorloop eerst deze vragenlijst waar je allemaal informatie moet delen die je normaal nooit aan iemand zou vertellen...


Dan door naar authorisatie. 

  • Conditional access: de site die bezocht wordt kan/mag alleen vanaf decives van het bedrijf bezocht worden en niet vanaf jouw thuis-computer. Dat kan geblokkeerd worden.
  • Least privileged access: je krijgt alleen rechten op waar je bij mag, de rest is impliciet geblokkeerd. 
  • Lateral movement - iemand komt binnen via account 1 die weinig rechten heeft, kan via-via aan de rechten komen die account 2 heeft, die mag veel meer. Maar zelfs die kan/mag niet bij het deel komen waar alleen de administrators toegang tot hebben, omdat dat deel beveiligd is met extra controles.

 

Zero Trust, geen onbekend item. Verify explicitly: elk verzoek moet gebaseerd zijn op authenticatie en authorisatie. 1 van beiden niet/onvolledig: geen toegang. Least privilege: alleen komen waar je mag komen. Assume breach: ga er vanuit dat iemand "al binnen is". Hoe zorg je dat zaken extra beveiligd worden (en zeg je niet meer: er zit een IP-check op, dat houdt alles buiten).

 

Describe network-based threats and mitigations
Networks form the backbone of our digitally connected world. They also represent an entry point for cyberattacks. In this module, you'll learn about threats to network security and how to mitigate those threats.

Dit deel richt zich op het netwerk. Als je FTP- en IIS-logs bekijkt, dan zie je dat jouw sites dagelijks duizenden keren "aangevallen" worden. Dat komt allemaal niet in de krant, maar die keer dat het fout gaat en gegevens van klanten op straat liggen (wachtwoorden, rekeningnummers), dan ben je te laat.

Het eerste deel beschrijft wat een netwerk is en dat het bedraad, via WIFI of via bluetooth verbinding kan maken. Meeste ken ik wel. Wel zie ik dat ik één begrip over het hoofd had gezien, een datagram. Dat is een stuk data van uniforme lengte dat over het netwerk verstuurd kan worden.

Het verkeer gaat via TCP/IP over de lijn, in pakketjes. Om iets bereikbaar te maken moet een device een IP-adres krijgen. En om te zorgen dat je gewoon naar nu.nl kunt surfen in plaats van naar 232.233.87.38 heb je DNS, hiermee wordt een naam gekoppeld aan een IP-adres.

Risico's die je loopt is:

  • man-in-the-middle of afluister-aanval, ergens in de routering gaat iets fout, waardoor een 3e partij jouw data kan lezen of zelfs kan aanpassen (of verwijderen).
  • distributed denial of service (DDOS) aanval - laat maar genoeg botjes 1 website bezoeken, uiteindelijk wordt deze onbereikbaar


Ook heb je nog de DNS poisoning: de aanvaller wijzigt het IP-adres in de DNS lookp tables om verkeer naar een legitieme site om te leiden naar bijvoorbeeld een phishing-site.

De aanvallen op draadloos niveau:

  • wardriving: uit films rond 1980 uitgebracht, rij rond in je auto en probeer verbinding te maken met openstaande netwerken om zo op andermans computer, raspberry pi of ander device te kunnen komen.
  • spoofing Wi-Fi hotspots: een soort man-in-the-middle aanval, in de StarBucks zie je een WIFI die openbaar toegankelijk is met de naam Star-Buckz, maar je verbindt eigenlijk met mijn device wat vervolges alles kan lezen wat jij doet...

 

En je hebt Bluejacking, een crimineel stuurt een signaal naar een device wat Bluetooth open heeft staan. Hij/zij moet dan wel binnen het bereik van je bluetooth zijn. Maar goed, ik heb zelf een bluetooth hoofdtelefoon, ik ben op het werk wel van mijn laptop naar de koffie-machine gelopen en had nog steeds ontvangst... Op mijn blog had ik hier eerder al wat bevindingen met bluetooth gedeeld.

De verdediging van je netwerk. Een firewall, antivirus, NAC (network access control) - hiermee kun je met policies afdwingen wat iemand wel en niet op een device kan/mag doen. Dus de admin mag wel inloggen op de router, maar iemand anders niet, netwerk segmentatie.
Gebruik een VPN voor een beveiligde connectie. En zet encryptie aan op je draaloze netwerk (WPA2 is de meest gebruikte methode - gebaseerd op AES). 

 

Describe device-based threats and security controls
Internet connected devices are everywhere, and users and organizations depend on them for pretty much every facet of daily life and business use. Throughout this module, you'll learn about device threats and mitigation techniques.

Iedereen vertrouwt op zijn mobieltje, tablet voor de dagelijkse werk. Op die apparaten staat "gevoelige informatie", persoonlijke gegevens. Interessant voor cybercriminelen.

Bij het woord "device" denk je aan die mobiel en tablet, maar het gaat hier ook om

  • USB sticks
  • apparaten aangesloten op je netwerk, zoals je TV, printer, camera's
  • het dashboard van je auto, je navigatie-systeem, voice-control
  • Wi-Fi hotspots


We zien al deze zaken als "threat-vectors", zaken die misbruikt kunnen worden om schade aan te richten.

Wat kan er mis gaan?

  • telefoon, laptop, tablet - downloaden van een geïnfecteerde applicatie kan data die privé is naar buiten "lekken"
  • usb sticks - er kan malware op geïnstalleerd worden die zodra je het in je laptop steekt ransomware activeert en al je bestanden versleutelt.
  • je home-assistant - die dingen luisteren en/of kijken altijd mee. als er een app in de app-store staat die de gegevens doorstuurt naar een crimineel, dan hits the shit the fan.

 

Wat kun je doen?

  • zorgt dat je devices de laatste security-updates hebben
  • hoeft je device niet aan te staan, zet m dan uit
  • activeer security-features (zoals bitlocker om je schijf te encrypten)
  • vereis PIN of biometrische data om toegang te krijgen tot devices

 

Describe application-based threats and how to protect against them
The proliferation of applications across the digital landscape presents an increased opportunity for cybercriminals. Throughout this module, you’ll learn about the threat landscape of application-based attacks and how to protect your applications.

De laatste module, application-based threats. 

Applicaties zijn "software". Die heb je in 2 smaken, system software, dus om je systeem te laten werken (toetsenbord, muis, beeldscherm). Kan "los uitgevoerd worden" en draait "in de achtergrond". 

Die andere is "applicatie software". Word, type een briefje, Excel, hou je boekhouding bij, Outlook, stuur en ontvang je mailtjes.

Je kunt overal software downloaden. Maar als je dat "vanaf een onbetrouwbare bron" doet, dan loop je het risico dat je malware binnenhaalt. 

Zelfs als je de software download waar niet mee "gerommeld" is, garandeert dat niet dat je niet getroffen kunt worden door "ellende".

Open-source vulnerabilities: deel de broncode met de rest van de wereld. Maar daar worden ook bugs gevonden. En als het goed is ook gefixt. Maar dat betekent wel dat ook jij moet updaten, want als je die "oude versie" gebruikt, dan kan daar misbruik van gemaakt worden.

Zero-day vulnerability: een partij die er geen behoefte aan heeft om hun bevindingen te delen komt achter een "zwak plek" in een bepaalde applicatie en maakt daar misbruik van. Zolang dat niet gefixt wordt/kan worden is dit een zero-day vulnerability.

En dan nog de zaken die betrekking hebben op je browser. Cookie-based attacks: aanvallers kunnen op een bepaalde manier toegang krijgen tot jouw cookie-data (wat voor een bepaalde web-applicatie voldoende is om jouw ingelogde toegang te geven), dan kan die aanvaller dat ook.
Of typosquatting, met opzet URL's van domeinen op echte domeinen laten lijken, in de hoop dat mensen hier hun inloggegevens invoeren, zodat er misbruik van gemaakt kan worden.

Wat moet ik doen?

  • Als er patches zijn, installeer die zo snel mogelijk. Of wacht even tot de eerste groep mensen ze geinstalleerd hebben en de patch "niet meer ellende veroorzaakt dan het zou moeten oplossen". Microsoft heeft volgens mij wel eens een update uitgebracht waarbij bestanden verwijderd werden...
  • Pas applicatie-configuratie aan. Als je router standaard geleverd wordt met username admin en wachtwoord admin, pas die na inloggen meteen aan!
  • Privacy settings, kijk goed uit met de gegevens die je opslaat en waar ze voor gebruikt kunnen worden. Mogelijk wil je een bepaalde dienst gebruiken, moet je daar een e-mailadres voor opgeven, maar wil je niet je algemene mailadres gebruiken die je alleen voor vrienden, familie en kennissen gebruikt - je zit niet te wachten op reclame-mailtjes op dat adres of als die gegevens lekken naar hackers, dat juist "dat e-mailadres" openbaar wordt.
  • Cookies, het kunnen weigeren van bepaalde cookies begint nu op sommige sites wat makkelijker te worden, kijk waarvoor je gegevens gebruikt (kunnen) worden en of je kunt "out-opten".
  • Download je software van geverifieerde producenten/shops/stores. Er is wel eens kritiek over de app-store van Apple, maar die centrale plek met controles door Apple zorgt wel voor extra veiligheid.