Terug
Blog 25-11-22

Security.txt: een nieuwe standaard

RSS-Feed

Security.txt: een nieuwe standaard

Als IT-verantwoordelijke heb je drukke tijden. Ik hoor je al denken: “Zucht, niet weer iets nieuws, er is al zoveel wat er gedaan moet worden”. Vrees niet, dit is geen project van maanden waar vele uren op moeten worden ingezet of een gat slaat in de ICT beveiligingsbegroting. Nee security.txt is vrij simplistisch van opzet en kan uitermate doeltreffend worden neergezet.

Auteur: Michael Waterman

Het idee is ontstaan uit een veel gehoorde vraag: “Bij wie moet ik zijn om een cybersecurity incident te melden?”. Dat kan vele vormen aannemen, van een kwetsbaarheid op je publieke website tot aan oneigenlijke toegang tot je data, in wat voor vorm dan ook. Vaak is het een hele speurtocht om bij de juiste persoon of afdeling van een organisatie uit te komen. Heb je eenmaal contact dan is het ook nog maar eens de vraag of deze persoon begrijpt waar hij dit moet neerleggen. Juist hiervoor is security.txt in het leven geroepen.

Simpel uitgelegd is het een tekstbestand dat je plaatst op de publieke website van je organisatie. Daarin staat opgenomen welke persoon of afdeling benaderbaar is voor het melden van cybersecurity incidenten, handig toch? Google heeft daar een heel mooi voorbeeld van, deze kan je hier vinden:

https://www.google.com/.well-known/security.txt

In het voorbeeld zie je bijvoorbeeld waar je kwetsbaarheden kunt aanmelden en een verwijzing naar de voorwaarden (“responsible disclosure”) voor het aanmelden hiervan. Vaak staat hierin opgenomen hoe een organisatie reageert op het aanmelden van incidenten en eventuele vergoedingen voor het tijdig doorgeven. Wil je dat data die je hebt gevonden niet kan worden onderschept, versleutel het dan met de public key van de organisatie, zodat zij alleen de data kunnen inzien. Vele mogelijkheden met één simpel bestand.

Security.txt in een paar stappen

De techniek achter security.txt is niet complex, volg bijvoorbeeld deze eenvoudige stappen:

  1. Maak op je publieke webserver een directory aan met de naam:” .well-known”.
  2. Maak op je pc een bestand aan met de naam “security.txt”.
  3. Vul deze met de benodigde informatie. Je kunt hiervoor de speciaal voor in het leven geroepen website (https://securitytxt.org/) gebruiken.
  4. Upload het bestand.

De uitdagingen

Techniek zal voor de implementatie niet het probleem zijn, de processen erachter verdienen aandacht. Elke organisatie, groot of klein dient overeenkomstig na te denken over het proces van het aanmelden, in behandeling nemen, verwerken en afsluiten van gemelde incidenten. Het is namelijk veel complexer dan de verantwoordelijkheid ‘klakkeloos’ bij de IT-afdeling neer te leggen wat niet de beste plek is voor deze meldingen. Idealiter zou het moeten landen in een “Security Operations Center”, waarbij de juiste processen al zijn aangebracht ongeacht de oorsprong van een melding. Wellicht is dat al een overtreffende trap voor veel organisaties. Overweeg dan eens of dit niet zou moeten landen bij de security afdeling van jouw ICT-provider, zolang het maar geborgd wordt in een proces en niet afhankelijk is van een individu.

Heb je vragen over security.txt, processen omtrent het aanmelden en verwerken van kwetsbaarheden en de integratie in een security operations center, neem dan contact met ons op.