image

Overheid positief over security.txt en kijkt naar bekendheidscampagne

maandag 9 mei 2022, 09:33 door Redactie, 10 reacties

Het Digital Trust Center (DTC) van het ministerie van Economische Zaken is positief over de potentie van security.txt als standaard en kijkt of het onder het Nederlandse bedrijfsleven bekend moet worden gemaakt. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Onlangs besloot de Internet Engineering Task Force (IETF) van security.txt een RFC (Request for Comments) te maken.

Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen, onder andere door contactgegevens te vermelden waar kwetsbaarheden zijn te melden.

Organisaties die van security.txt gebruikmaken moeten wel alert zijn op spam en phishing, aangezien de opgegeven contactgegevens hiervoor kunnen worden gebruikt. Dit zou echter niet opwegen tegen de voordelen van security.txt. Het DTC zegt positief te zijn over de potentie van security.txt als standaard. "Dit zou onderdeel van je bedrijfshygiëne kunnen worden. Het verbetert immers je weerbaarheid tegen cyberaanvallen omdat je sneller op de hoogte bent van door cyberonderzoekers geconstateerde beveiligingslekken", zegt Kim van der Veen, projectleider van het DTC.

De veiligheidsmaatregel is volgens de overheidsinstantie vrij eenvoudig en zonder hoge kosten door te voeren. Op Securitytxt.org is een tool te vinden voor het genereren van een security.txt-bestand. Ook staat er beschreven waar dit bestand op de webserver geplaatst moet worden om aan de voorgestelde standaard te voldoen. Het DTC gaat de komende tijd met ondernemers en it-dienstverleners overleggen of security.txt bekendheid bij het Nederlandse bedrijfsleven verdient. "Mogelijk kan een gerichte campagne hierbij helpen”, aldus Van der Veen.

Reacties (10)
09-05-2022, 10:58 door Anoniem
Als de overheid er enthousiast over is, dan is dat een vreselijk harde trigger om nog eens te overwegen of het wel een goed idee is.
Alhoewel het wel zo lijkt...
09-05-2022, 11:15 door Anoniem
Goed dat het er is, maar een gevaar is wel dat er weer teveel informatie in komt te staan wat een aanvaller/kwaadwillende kan misbruiken. Bedrijven en overheden moeten goed overwegen binnen deze implementatie dat dit kan spelen; en dus bij gebruik dit goed inrichten (oa qua email etc.) qua interne afhandeling en procedures.
09-05-2022, 13:59 door Anoniem
Zie niet echt wat hier de toegevoegde waarde voor is, whois heeft toch al abuse contact informatie? En hier zitten ale beschermingsmaatregelen op tegen scraping etc.

Dus waarom nog een extra meganisme. Als de huidige manier niet werkt dan zal security.txt ook niet werken....
09-05-2022, 14:14 door Anoniem
De Nederlandse overheid is dit al aan het invoeren. Kijk maar eens op https://www.rijksoverheid.nl/security.txt
09-05-2022, 14:21 door Anoniem
Door Anoniem: Zie niet echt wat hier de toegevoegde waarde voor is, whois heeft toch al abuse contact informatie? En hier zitten ale beschermingsmaatregelen op tegen scraping etc.

Dus waarom nog een extra meganisme. Als de huidige manier niet werkt dan zal security.txt ook niet werken....

Een groot deel van de informatie is nu onzichtbaar door GDPR.
Daarnaast staat het abuse email niet altijd in het juiste WHOIS veld waardoor automatische scraping voor sec tools lastiger is.
09-05-2022, 14:22 door Anoniem
Door Anoniem: Als de overheid er enthousiast over is, dan is dat een vreselijk harde trigger om nog eens te overwegen of het wel een goed idee is.
Alhoewel het wel zo lijkt...
De overheid geeft ook aan dat patchen een goed idee is, laten we dat dan vooral ook niet doen!
09-05-2022, 14:52 door Anoniem
regel 1: Our security address met vervolgens een emailadres in platte tekst. Makkelijk te parsen etc. Ook door harvestbots. Met als gevolg dat het security adres wordt bestookt met spam waardoor men door de bomen het bos niet meer kan zien.
09-05-2022, 16:04 door Anoniem
Door Anoniem: Als de overheid er enthousiast over is, dan is dat een vreselijk harde trigger om nog eens te overwegen of het wel een goed idee is.
Alhoewel het wel zo lijkt...

Het verschil is dat ze dit niet zelf verzonnen hebben... ;-)
10-05-2022, 13:42 door Anoniem
Door Anoniem: regel 1: Our security address met vervolgens een emailadres in platte tekst. Makkelijk te parsen etc. Ook door harvestbots. Met als gevolg dat het security adres wordt bestookt met spam waardoor men door de bomen het bos niet meer kan zien.

Just kunt een verval datum opgeven, dus ook de contact informatie veranderen elk uur/week/jaar/bij spam
11-05-2022, 11:50 door Anoniem
Door Anoniem: regel 1: Our security address met vervolgens een emailadres in platte tekst. Makkelijk te parsen etc. Ook door harvestbots. Met als gevolg dat het security adres wordt bestookt met spam waardoor men door de bomen het bos niet meer kan zien.

Het helpt als je eerst op https://securitytxt.org/ kijkt je kunt hier ook een url invullen waar jezelf je beter kunt beschermen tegen bots. een plain text email is dus geen verplichting
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.