Naar hoofdinhoud
MICROSEGMENTATIE

Segmenteren staat in elk rapport. Het lukt bijna niemand zonder de operatie te verstoren.

Ransomware leeft van laterale beweging. Segmentatie bepaalt of een inbraak één systeem blijft of je hele estate raakt.

NIS2NIST SP 800-207ISO 27001IEC 62443

Bewezen op wereldschaal

Microsoft beveiligt z’n eigen omgeving met dezelfde segmentatietechnologie.


  • Draait op je bestaande Microsoft-stack: Windows Firewall op je hosts en Azure NSG’s in de cloud, geen nieuwe appliance.

  • Sluit aan op Zero Trust (NIST SP 800-207), het model dat Microsoft zelf hanteert.

  • Bewezen op een schaal die geen andere aanpak aankon.

Microsoft
ControlsNIST SP 800-207, ISO 27001 A.13.1, NIS2 art. 21, IEC 62443 (OT)
Voor wieCISO, CIO, security operations, netwerk- en OT-beheer
DoorlooptijdEerste verkeersbeeld 2-4 weken, eerste kritieke omgeving afgeschermd 6-10 weken

Kernuitdagingen

Het probleem is niet het advies. Het is dat het niet te landen is.

Je netwerk is plat gegroeid zonder dat iemand het zo ontwierp. Het advies om te segmenteren klopt; het werkend krijgen is het probleem.

11

dagen mediane verblijftijd

Een inbraak blijft dagen onopgemerkt

De tijd tussen binnenkomst en ontdekking is gedaald, maar een aanvaller heeft dagen om zich lateraal door een plat netwerk te bewegen. In een omgeving zonder afscherming is dat ruim genoeg om bij de kritieke systemen te komen.

Mandiant M-Trends 2025, mediane verblijftijd 11 dagen, ransomware 6.

46%

kreeg laterale beweging te zien

Het advies klopt, en gebeurt toch niet

Segmentatie staat breed op de agenda, maar in een landschap met legacy, OT en lopende productie laat segmenteer alles zich niet zomaar landen. De adviseur die het opschreef neemt zelden de stap terug om het uitvoerbaar te maken in jouw context.

Orde van grootte; Omdia 2026 en Akamai 2025, vendor-onderzoek.

30%

voerde fijnmazige microsegmentatie door

Beleid op papier is geen getoetste afscherming

De meeste organisaties hebben een vorm van segmentatie, maar slechts een klein deel heeft de kritieke systemen fijnmazig afgeschermd. Beleid dat bestaat maar niet is doorgevoerd of getoetst, houdt een aanvaller niet tegen op het moment dat het moet.

Orde van grootte; Cisco/Vanson Bourne en Akamai 2025, vendor-onderzoek.

De vraag voor het bestuur

Blijft een inbraak waar hij begint?

Toezicht en bestuur vragen niet of er een segmentatiebeleid is vastgesteld. Ze vragen of een inbraak beperkt blijft tot waar hij binnenkomt, en of dat standhoudt. Dat is het verschil tussen een control die op papier bestaat en een control die in de praktijk werkt.

Het verschil

Beleid op papier, of getoetste indamming.

Niet of je segmenteert, maar of de afscherming staat waar je blootstelling zit, en of ze het houdt als een aanvaller binnen is.

Klassieke segmentatieMet Radian

Segmenteer alles, uniform beleid

Een beleid over het hele landschap dat nergens helemaal wordt doorgevoerd. Te breed en te fijnmazig tegelijk loopt vast.

Reikwijdte

Kritikaliteit-eerst, gefaseerd

We schermen eerst af waar je blootstelling het grootst is, een kritieke omgeving per keer. Geen meerjarenproject dat nergens een eigenaar heeft.

Eén methode over het hele landschap

Agent-gebaseerde handhaving overal werkt niet op OT, IoT en veel legacy, en geeft operationele last. De methode bepaalt dan de omgeving.

Aanpak

Uitvoerbaar per omgeving

Identity-gedreven waar dat kan, netwerk-gebaseerd waar legacy en OT dat afdwingen. De omgeving bepaalt de aanpak, niet andersom.

Regels afdwingen op aanname

De afscherming gaat aan op basis van hoe het verkeer zou moeten lopen. Operations vreest downtime, applicatie-eigenaren vrezen compatibiliteit, en de uitrol stagneert.

Uitrol

Eerst het werkelijke verkeer in kaart

We observeren wat systemen feitelijk doen voordat we iets afdwingen, samen met de business- en applicatie-eigenaren. De verstoring wordt vooraf geadresseerd, niet achteraf.

Het beleid bestaat

Succes wordt gemeten in of het beleid is vastgesteld. Of de segmenten een aanvaller onder druk tegenhouden, blijft onbeantwoord.

Bewijs

De afscherming is getoetst

We toetsen of laterale beweging daadwerkelijk wordt tegengehouden, en houden dat bij in een doorlopende cyclus. Design en existence worden operating effectiveness.

Hoe het werkt

Van een plat netwerk naar afscherming die standhoudt.

Links wat er afgeschermd wordt, in het midden de volgorde die bepaalt en toetst, rechts wat je overhoudt. Je bestaande netwerk en oplossingen blijven staan.

Je landschap
Werkplekken en serverworkloads
Cloud en online software
Applicaties en API’s
Industriële systemen en slimme apparaten
Identiteit en toegangsrechten
Externe ontsluitingen
Onbeheerde en onbekende IT
normaliseert›››
Vijf stappen, doorlopend
Het kaderProtect surface: wat je beschermtWaar je materiële blootstelling zit
01
Bepaal
Wat als eerste afgeschermd moet zijn: het protect surface, gekozen op kritikaliteit.
02
Breng in kaart
De werkelijke verkeersstromen tussen systemen, in een zichtbaarheidsmodus die niets blokkeert. Je ziet wat er feitelijk gebeurt voordat er één regel dichtgaat.
03
Scherm af
Uitvoerbaar via de controls die je al draait: Windows Firewall op je hosts, Azure NSG’s in de cloud. Identity-gedreven waar dat kan, netwerk-gebaseerd waar legacy en OT dat vragen.
04
Toets
Of de segmenten laterale beweging onder druk daadwerkelijk tegenhouden.
05
Houd vast
Een doorlopende cyclus: het landschap verandert, de afscherming en de toets bewegen mee.
Doorlopend
levert›››
Wat je overhoudt
Een inbraak die beperkt blijft tot waar hij begint
Kritieke systemen aantoonbaar afgeschermd
Minder wegen waarlangs een aanvaller lateraal kan bewegen
Segmenten die zijn getoetst onder druk, niet aangenomen
Zicht op oost-west verkeer, ook van AI-agents
Een aantoonbare maatregel onder NIS2, DORA en de duty of care
Een uitrol die de bedrijfsvoering niet platlegt

Het onderscheid

Het gangbare advies klopt op papier.

In een echt landschap, legacy, OT, lopende productie, valt het om.

De gangbare aanpakMet Radian

Een centrale firewall waar al je verkeer doorheen moet.

Werkt mét wat je al draait

De afscherming draait op de controls die je al hebt: Windows Firewall op je hosts, Azure NSG’s in de cloud, niet op een centrale flessenhals. Een middel is een middel, geen doel.

Honderden IP-gebonden regels die verouderen zodra workloads verschuiven; je raakt de draad kwijt, zonder oost-west-zicht.

Beweegt mee, remt je niet af

De policy volgt de workload op identiteit, niet op een IP-adres dat verandert. Je houdt een leesbaar beleid en je deliverytempo loopt niet vast op segmentatie.

Een centrale firewall in een hub-spoke ziet het verkeer binnen een segment niet; wie binnen is, beweegt vrij naar z’n buren binnen de spoke. En vrij over alle openstaande poorten tussen segmenten.

Fijnmazig tot op de workload

De afscherming gaat tot op de workload, niet tot een grove netwerkzone waarbinnen een aanvaller vrij rondgaat. Precies de paden die ransomware gebruikt om zich lateraal te verspreiden, gericht dicht.

Eerst de CVE kennen en op tijd patchen, en hopen dat je sneller bent dan de aanvaller.

Houdt stand, bekende kwetsbaarheid of niet

De afscherming stopt laterale beweging ongeacht de kwetsbaarheid: bekend, onbekend, of net ontdekt. Nu kwetsbaarheden sneller worden uitgebuit dan ze te patchen zijn, is dat het verschil tussen een inbraak en een ramp.

Een rapport met "segmenteer je netwerk", en de uitvoering blijft bij jou.

Onze seniors voeren ook uit

Dezelfde senior die bepaalt wat afgeschermd moet zijn, helpt het in de praktijk landen en toetsen. De moeilijkste fase laten we niet bij jou liggen.

Een tool gekocht, en zelf maar schaarse specialisten werven en vasthouden.

De capability zonder een team op te bouwen

Microsegmentatie vraagt schaarse expertise en een methode die je voor één omgeving niet rendabel zelf opbouwt. Je krijgt de capability zonder een eigen team op te tuigen: wij draaien ’m mét je mee.

Een leverancier draait een black box; je zit vast aan tool en contract.

De besluiten en het eigenaarschap blijven van jou

Wij draaien de cyclus, maar de besluiten over afschermen, uitzonderen of accepteren en het eigenaarschap blijven bij jou. Policy, runbooks en content liggen vast en zijn overdraagbaar: geen black box, geen lock-in.

Aan de slag

Blijft een aanvaller die binnen is, waar hij binnenkwam?

Geen segmentatieplan van honderd pagina’s. Eén gesprek waarin we bepalen wat in jouw landschap als eerste afgeschermd moet zijn, en of een aanvaller nu lateraal zou kunnen bewegen.

Plan een gesprek

30 minuten met een senior, geen pitch.

Gesprek aanvragenBel direct088 - 163 23 25