Weblate incidenskezelési terve

Hatókör és célkitűzések

  • Ez az incidenskezelési terv (IRP) azokat az eseményeket fedi le, amelyek hatással vannak egy Weblate telepítés bizalmasságára, sértetlenségére vagy rendelkezésre állására.

  • Alkalmazandó minden saját üzemeltetésű Weblate példányra, legyen az helyben vagy felhőalapú infrastruktúrában.

Szerepkörök és felelősségek

  • Incidenskezelési vezető (IRL): Koordinálja az incidenskezelési folyamat minden szakaszát.

  • Rendszer adminisztrátor: Végrehajtja az elszigetelési és helyreállítási intézkedéseket.

  • Biztonsági tisztviselő: Értékeli a biztonsági hatásokat és a szabályozási következményeket.

  • Kommunikációs vezető: Kezeli a belső szereplők és – szükség esetén – külső felek felé irányuló értesítéseket.

Incidenskategóriák

  • Category 1 – Unauthorized Access

  • Category 2 – Data Integrity Violation

  • Category 3 – Service Outage or Degradation

  • Category 4 – Misconfiguration or Deployment Error

Incidenskezelési életciklus

Felkészülés

  • PostgreSQL adatbázis és az adatkönyvtár napi rendszeres biztonsági mentésének biztosítása.

  • A Weblate védelme fordított proxyval (pl. NGINX vagy Apache) és HTTPS-sel (TLS 1.2+).

  • Kétlépcsős hitelesítés engedélyezése rendszergazdai jogosultságú fiókokhoz.

  • A Weblate példány és függőségeinek (Python, Django, Celery, adatbázis stb.) naprakészen tartása.

  • Integráció SIEM rendszerekkel a GELF protokoll segítségével az audit- és alkalmazásnaplók továbbításához.

Azonosítás

  • A rendszer- és alkalmazásnaplók figyelése (journalctl, fordított proxy naplók, Weblate-alkalmazás naplói, audit naplók).

  • Bejelentkezési események, webhook-végrehajtások, valamint a feltöltési (push) és letöltési (pull) műveletek elemzése.

  • Riasztások konfigurálása (például Prometheus, Zabbix vagy SIEM használatával) az alábbi eseményekre: több sikertelen bejelentkezés, váratlan szolgáltatás-újraindulás, memóriahasználat kiugrása, valamint szokatlan feltöltési vagy letöltési (push/pull) műveletek verziókezelő rendszerekben

Elhatárolás

  • Hozzáférés ideiglenes korlátozása (például tűzfalszabályokkal vagy a szolgáltatás elkülönítésével).

  • Külső integrációk (például Git vagy webhook) letiltása, ha szerepet játszanak a támadásban.

  • Az érintett felhasználói fiókok azonnali felfüggesztése.

Megszüntetés

  • Minden jogosulatlan kód vagy adat eltávolítása.

  • Ismert sérülékenységek javítása Weblate- vagy kiszolgálói komponensfrissítéssel.

  • A bináris fájlok és tárolók épségének ellenőrzése SHA‑256 ellenőrzőösszegek vagy Git-naplók alapján.

Helyreállítás

  • Az érintett szolgáltatások vagy adatok visszaállítása a legutóbbi ismert, hibamentes mentésből.

  • Az érintett szolgáltatások fokozatos visszakapcsolása.

  • A naplók és a rendszer viselkedésének figyelése legalább 72 órán át a helyreállítás után.

Incidens utáni áttekintés

  • A teljes eseményidővonal és a végrehajtott intézkedések dokumentálása.

  • Az esemény alapvető okainak elemzése (RCA – Root Cause Analysis).

  • A biztonsági irányelvek és az incidenskezelési dokumentáció frissítése.

  • A felismerési és elhatárolási mechanizmusok hatékonyságának értékelése.