NCSC helpt met centraal securitymeldpunt: security.txt
Het Nationaal Cyber Security Centrum (NCSC) is met een document gekomen waarin het organisaties van de Rijksoverheid hulp biedt voor het implementeren van security.txt. Die standaard voor een meldpunt waar onderzoekers securitykwesties kunnen melden, wordt niet alleen uitgelegd door het NCSC maar ook gefaciliteerd.
© CC0: Pixabay.com
CC0: Pixabay.com
"In plaats van alle webservers van de Rijksoverheid te voorzien van een apart security.txt-bestand, biedt het verwijzen naar een centraal security.txt-bestand met een HTTP 302 Redirect meerdere voordelen", stelt het NCSC in de zogeheten handreiking over security.txt. Deze standaard bestaat uit een tekstbestand met draain contactgegevens voor het verantwoord melden van kwetsbaarheden, onvolkomenheden en beveiligingsproblemen.
Overlaten aan NCSC
De 302-doorverwijzing die het NCSC aanraadt voor security.txt bij en voor Rijksoverheden biedt allereerst gemak, legt het cybersecurity-orgaan van de Nederlandse overheid uit. "Organisaties van de Rijksoverheid hoeven zelf geen security.txt-bestand te genereren en te publiceren, maar hoeven alleen maar te verwijzen."
Een tweede voordeel is proces: "Het centrale security.txt-bestand sluit aan bij het bestaande proces waarin NCSC een centrale rol speelt bij het afhandelen van CVD-meldingen voor de Rijksoverheid." CVD staat voor Coördinated Vulnerability Disclosure en betreft het discreet melden plus verantwoord onthullen van beveiligingskwesties. Na initiële melding en aanpak kunnen melder en betrokken organisatie dan naar buiten treden met de vondst plus genomen maatregelen. Soms kan het eerst nog nodig zijn om verantwoorde melding te doen aan andere partijen, zoals ICT-gebruikers maar ook -leveranciers.
Gemak en gemak, naast gemak
Het derde en vierde voordeel dat het NCSC noemt voor het centrale security.txt-bestand vormen in wezen varianten van de eerstgenoemde: gemak. De voordelen 'wijzigingenbeheer' en 'up-to-date' nemen namelijk met het bij NCSC gehoste security.txt ook werk uit handen bij individuele organisaties van de Rijksoverheid.
"Wijzigingen hoeven alleen in het centrale security.txt-bestand doorgevoerd te worden. Webservers die verwijzen naar het centrale security.txt-bestand zullen hierdoor automatisch verwijzen naar de nieuwe content", legt het NCSC uit. "Zonder een centraal security.txt-bestand zouden alle security.txt-bestanden op iedere webserver geüpdatet moeten worden."
Hetzelfde geldt voor het voordeel van up-to-date zijn, waarbij de standaard voor security.txt een verplichte houdbaarheidsdatum voor dat informatiebestand omvat. "De verplichte houdbaarheidsdatum (in het Expires-veld) van het centrale security.txt-bestand hoeft maar op een plek aangepast te worden zodra deze verstreken is. Zonder een centraal security.txt-bestand zouden alle webservers die gebruik maken van security.txt-bestanden periodiek geüpdatet moeten worden om de houdbaarheidsdatum te verversen."
Breder bruikbaar
In de handreiking over security.txt geeft het NCSC ook uitleg hoe deze standaard voor ICT-security werkt en hoe organisaties dit zelf kunnen implementeren. Daarbij worden handige tips gegeven zoals het opzetten van een reverse DNS om webdomeinen beter te koppelen aan IP-adressen, waar beveiligingsonderzoekers vaak op scannen. De uitleg plus implementatietips zijn ook bruikbaar voor bedrijven en organisaties die niet onder de Rijksoverheid vallen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee