Incident herstelplan (Incident response plan (IRP)) voor Weblate

Bereik en doelen

  • Dit IRP behandelt incidenten die impact hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van ene uitrol van Weblate.

  • Het is van toepassing op zelf gehoste instanties van Weblate, ofwel op locatie of in de cloud-infrastructuur.

Rollen en verantwoordelijkheden

  • Incident herstel leider (Incident Response Lead (IRL)): Coördineert alle fasen van het herstelproces.

  • Systeembeheerder: Voert maatregelen voor afzondering en herstel uit.

  • Beveiligings officier: Evalueert impact voor beveiliging en konsekwenties voor regelgeving.

  • Leider communicatie: beheert notificaties voor interne sleutelpersonen en, indien nodig, externe partijen.

Categorieën incidenten

  • Categorie 1 – Niet geauthoriseerde toegang

  • Categorie 2 – Overtreding integriteit gegevens

  • Categorie 3 – Uitval service of degradatie

  • Categorie 4 – Foutieve configuratie of fout bij uitrol

Levenscyclus incident herstel

Voorbereiding

  • Zorg voor regelmatige dagelijkse back-ups van de PostgreSQL database en de map met gegevens.

  • Bescherm Weblate met omgekeerde proxy (bijv. NGINX of Apache) en HTTPS (TLS 1.2+).

  • Schakel 2FA in voor accounts op niveau van systeembeheerders.

  • Houd de Weblate instantie en zijn afhankelijkheden (Python, Django, Celery, database, etc.) up-to-date.

  • Integreer met SIEM-systemen met het protocol GELF voor het auditten en doorsturen van logs van de toepassing.

Identificatie

  • Monitor systeem en toepassingslogs (journalctl, logs van de omgekeerde proxy, logs van de toepassing Weblate en de audit).

  • Analyseer gebeurtenissen voor inloggen, het uitvoeren van webhooks en falen van push/pull.

  • Configureer alarmering (bijv. via Prometheus, Zabbix of SIEM) voor: - Meermaals falen inloggen - Onverwacht opnieuw starten van service of pieken in geheugengebruik - Ongewone acties voor push/pull vanuit versiebeheersystemen

Afzonderen

  • Beperk tijdelijk de toegang (bijv. via regels voor firewall of isoleren van service).

  • Schakel externe integraties uit (Git/webhooks) als ze deel uitmaken van het aangevallen gebied.

  • Schors betrokken gebruikers onmiddellijk.

Uitroeien

  • Verwijder alle niet geautoriseerde code of gegevens.

  • Herstel bekende kwetsbaarheden door Weblate of serveronderdelen te upgraden.

  • Valideer binaire en integriteit van de opslagplaats met SHA-256 controlesommen of Git-logs.

Herstel

  • Herstel de getroffen services of gegevens vanuit de laatst bekende goede back-ups.

  • Introduceer de services opnieuw in een gefaseerde benadering.

  • Monitor logs en het systeemgedrag doorlopend gedurende ten minste 72 uur na het herstel.

Nakijken na het incident

  • Stel een volledige tijdlijn voor het incident en de genomen acties samen.

  • Voer een Root Cause Analysis (RCA) uit.

  • Werk beveiligingsbeleid en documentatie voor IRP bij.

  • Kijk de effectiviteit van de mechanismen voor detectie en afzondering na.