Security.txt voor organisaties
Er worden geregeld kwetsbaarheden gevonden in bedrijfssoftware. Soms zijn de kwetsbaarheden zo ernstig dat softwareleveranciers je dringend oproepen om zo snel mogelijk een beveiligingsupdate te installeren. Wacht je hier te lang mee, dan kunnen cybercriminelen misbruik maken van de gevonden kwetsbaarheid.
Het internet wordt gescand
Het internet wordt continu gescand. Dit scannen levert cyberonderzoekers informatie op wie welke systemen gebruikt en welke softwareversies er operationeel zijn. Kwaadwillenden kunnen met deze informatie aanvalsplannen beramen. Er zijn gelukkig ook cyberonderzoekers met goede bedoelingen. Deze willen graag aanvallen voorkomen door je bedrijf te waarschuwen voor ernstige kwetsbaarheden.
Het waarschuwen voor kwetsbaarheden
Cyberonderzoekers kunnen ontdekken dat er bij een veelvoud aan IP-adressen een digitale 'deur' open staat. Lang niet altijd is te herleiden wie bij deze IP-adressen horen. Als er een domeinnaam of bedrijfsnaam gevonden wordt, moet er nog gezocht worden naar een contactadres om de waarschuwing te kunnen versturen. Aan deze zoektochten gaat kostbare tijd verloren. Wil je als organisatie snel op de hoogte zijn van een ernstige digitale dreiging, laat dan weten hoe je bereikt wilt worden. Hier speelt security.txt een rol.
Wat is het nut van security.txt?
Wat is security.txt?
Security.txt is een simpel tekstbestandje - met je contactgegevens - dat je plaatst op je webserver. Hierdoor ben je eenvoudig te bereiken, en kun je snel actie ondernemen bij een acute cyberdreiging ter bescherming van je bedrijf.
Security.txt uitgelegd
Implementeer security.txt in 4 simpele stappen:
Stap 1.
Kies het contactadres. Bij wie wil je dat de melding binnenkomt? Bij je bedrijf of bij je IT-dienstverlener? Maak hiervoor de inschatting wie iets met de meldingen kan of gaat doen.
Stap 2.
Gebruik de tool op securitytxt.org en vul daar in ieder geval het contactadres en vervaldatum in. Maak vervolgens met één klik je eigen security.txt-bestand.
Stap 3.
Maak op je webserver een map aan met de naam ".well-known". Plaats in deze map je security.txt-bestand. Kun je geen map aanmaken op de server? Kijk of er voor jouw cms een 'security.txt plug-in' beschikbaar is, of vraag je IT-dienstverlener om hulp.
Stap 4.
Gebruik de tool op internet.nl om te controleren of je security.txt goed geïmplementeerd hebt.
Heel goed. De basis staat.
Je hebt nu voor je webdomein een security.txt geplaatst en bent bereikbaar voor vinders van beveiligingsproblemen. Maar, er is meer wat je moet doen als je security.txt goed wilt laten werken voor je. Bekijk de aanbevelingen in stap 5 t/m 8.
Zet ook stap 5 t/m 8 voor optimale werking
Stap 5.
Agendeer de vervaldatum van je security.txt in je agenda zodat je deze gegevens tijdig kunt verversen.
Stap 6.
Heb je een subdomein? Plaats voor dit subdomein ook een security.txt op de server. Het komt geregeld voor dat een kwetsbaarheid alleen herleidt naar een IP-adres. Het advies is daarom om ook een security.txt-bestand te implementeren voor alle IP-adressen die je bedrijf gebruikt. Vraag je IT-dienstverlener om hulp als je dit niet zelf kunt.
Stap 7.
Weet degene die de meldingen ontvangt wat er mee moet gebeuren? Maak werkafspraken wie aan de slag gaat met meldingen over beveiligingslekken.
Stap 8.
In een zogenoemd Coordinated Vulnerability Disclosure (CVD)-beleid verwoord je aan welke eisen een melding moet voldoen en geef je aan wat de vinder mag verwachten. Nu je een security.txt hebt, kun je dit opnemen in dit beleidsdocument. Heb je dit nog niet, lees dan snel hoe je in een paar stappen een CVD-beleid opstelt.