Blog

Een Security.txt alleen is niet genoeg

January 2, 2023

Lennert Hut

Online Marketer

De afgelopen weken heeft de Rijksoverheid flink ingezet op een campagne over Security.txt. Misschien heb je het gezien, maar heb je je er nog niet in verdiept. Lees verder, want wij vertellen je meteen wat er niét wordt gezegd over de veiligheid van je netwerk. 

Wat is Security.txt?

Het bestandstype komt je waarschijnlijk bekend voor. Het is niet meer dan een simpel tekstbestandje zonder opmaak. Maar het gaat om de inhoud. Security.txt toont onder andere de contactgegevens van de personen die verantwoordelijk zijn voor de IT Security van de website. In deze vorm is het bestand uit te lezen voor mens én machine. Het bestand kan zelf worden aangemaakt en geplaatst op jouw website.

Voor wie is Security.txt?

We beperken ons tot mensen: vooral voor ethical hackers. Ontdekken zij een lek in de site, een zogenoemde security vulnerability, dan willen ze dat vaak best melden. Maar dat was tot nu toe ook vaak een hels karwei. Waar meld je zoiets? Iedere website heeft zijn eigen adressen. Ethical hackers raakten zo nogal eens verstrikt in een woud van e-mailadressen, contactpagina’s of social media-accounts. De ervaring leert dat generieke adressen als webmaster@website.nl niet erg trouw werden beheerd.

En aangezien ethical hackers websitebeheerders een plezier doen, wil je het hen zo gemakkelijk mogelijk maken. Dan wil je niet veel tijd kwijt zijn aan zoeken. Want uiteindelijk laat een melder het er dan bij zitten en blijft je website lek.

De tijd is voorbij dat we dit soort meldingen op de plank konden laten liggen. Of nog erger: dat ze verdwijnen in het niets. We zijn met z’n allen echt te veel tijd en geld kwijt aan aanvallen zoals met ransomware, spam en hacking. Gemiddeld kost een aanval nu zo’n 5 miljoen euro, zo becijfert onze Solution Partner IBM. Dus voor de duidelijkheid: dat is per bedrijf. En die kosten stijgen jaarlijks met zo’n 15%.

Een melding over een kwetsbaarheid is dus van onschatbare waarde. En dus wil je het een melder zo gemakkelijk mogelijk maken. Die melder moet dus terecht kunnen bij een algemeen loket voor IT Security zaken dat direct te vinden is. Dat loket heet dus Security.txt en is onderdeel van je website.

Waar vind ik Security.txt?

Daarvoor zijn sinds april 2022 algemeen wereldwijd geldende regels voor. We hebben met z’n allen afgesproken dat Security.txt voor iedereen online te vinden is in /.well-known/security.txt op een website. Dus voor onze website is dat www.aumatics.nl/.well-known/security.txt .

Stel ik krijg een melding. Wat dan?

Dat is de vraag die vaak ontbreekt bij het verhaal over Security.txt. Want het juiste adres communiceren over een lek is maar het begin. Het gaat om het oplossen. Daarvoor moet je weten wat er wordt bedoeld. En natuurlijk hoe het wordt opgelost. Je kunt een melding krijgen over het ontbreken van de security headers, maar niet iedereen weet dan wat er aan de hand is. Krijg je een melding via de Security.txt? Wij lossen het niet alleen op, maar nemen meteen de hele omgeving mee.

Waarom is dat nodig?

Omdat een dergelijke melding via Security.txt meestal wijst op tekortkomingen op meer plekken. Met een Security Scan kijken wij naar alle mogelijke manieren om binnen te komen op jouw netwerk. De zwakste plek is de eerste ingang voor een aanvaller. Aanvallers zoeken 24 uur per dag naar die ingang.

Ben je benieuwd of ze binnen komen? Maak een afspraak en wij vertellen het je binnen 1 dag na de start, met een Security Scan van Pentera ASV. 

Als Marketer bij Aumatics hou ik trends en ontwikkelingen bij op het gebied van IT Security en IT dienstverlening. Net als mijn collega's bij Aumatics deel ik ze graag met je, zodat je veiliger en gemakkelijker werkt, op iedere plek.

Lennert Hut

Online Marketer