Het Britse National Cyber Security Center (NCSC) heeft vandaag de Vulnerability Disclosure Toolkit gelanceerd, een document dat onderzoekers en organisaties moet helpen bij het ontvangen en afhandelen van bugmeldingen (pdf). Volgens het NCSC worden er continu kwetsbaarheden ontdekt en willen mensen die bij de betreffende organisatie rapporteren, zodat die het probleem kan verhelpen.
Door adequaat op meldingen te reageren kan het aantal kwetsbaarheden in producten en diensten worden verminderd. Wanneer organisaties niet de mogelijkheid geven om beveiligingslekken te rapporteren, bestaat er een kans dat onderzoekers hun bevindingen meteen openbaar maken, wat tot reputatieschade kan leiden, zo merkt het NCSC op. Daarnaast kan de geopenbaarde informatie aanvallers helpen om systemen te compromitteren.
De nu gelanceerde Vulnerability Disclosure Toolkit, gebaseerd op de eigen ervaringen van het NCSC, omschrijft een proces hoe onderzoekers en organisaties met bumeldingen kunnen omgaan. Hierbij staan drie zaken centraal: communicatie, beleid en het bestand security.txt. Zo moeten organisaties over een apart webformulier of e-mailadres beschikken, zodat meldingen over kwetsbaarheden bij de juiste persoon terechtkomen.
Door het opstellen van een duidelijk beleid kan een organisatie laten weten wat ze van onderzoekers verwachten en hoe ze op gemelde kwetsbaarheden zullen reageren. Als derde en laatste punt pleit het NCSC voor het gebruik van het bestand security.txt. Het gaat om een bestandje waarmee organisaties en websites kunnen aangeven hoe onderzoekers gevonden kwetsbaarheden kunnen rapporteren.
Volgens de bedenkers van security.text beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen. Er is een voorstel ingediend bij de Internet Engineering Task Force (IETF) ingediend waardoor het straks mogelijk een internetstandaard wordt. Google is één van de partijen die al van security.txt gebruikmaakt. De bedenkers van het voorstel lanceerden de website securitytxt.org, waarmee het mogelijk is om een dergelijk tekstbestand te genereren.
Het NCSC erkent dat de toolkit geen alomvattend antwoord op vulnerability disclosure is, maar dat het organisaties kan helpen om een dergelijk proces op te zetten. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) voert al geruime tijd een beleid voor Coordinated Vulnerability Disclosure (CVD), waarin een soortgelijk proces wordt geboden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...
Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.