வெப்லேட்டுக்கான சம்பவ மறுமொழி திட்டம்

நோக்கம் மற்றும் குறிக்கோள்கள்

இந்த IRP ஆனது வெப்லேட்-இயக்கப்படும் வரிசைப்படுத்தல்களின் இரகசியத்தன்மை, ஒருமைப்பாடு அல்லது கிடைக்கும் தன்மையை பாதிக்கும் சம்பவங்களை உள்ளடக்கியது.

Note

இந்தத் திட்டம் குறிப்பாக வலைபெயர்ப்பு s.r.o ஆல் இயக்கப்படும் வரிசைப்படுத்தல்களுக்காக வடிவமைக்கப்பட்டுள்ளது. பிற வரிசைப்படுத்தல்கள் வழங்குநர்-குறிப்பிட்ட மற்றும் நிறுவன நடவடிக்கைகளை அவற்றின் சொந்த சூழலுக்கு மாற்றியமைக்க வேண்டும்.

பாத்திரங்கள் மற்றும் பொறுப்புகள்

  • Incident Response Lead (IRL): Coordinates all phases of the response process.

  • கணினி நிர்வாகி: கட்டுப்பாடு மற்றும் மீட்பு நடவடிக்கைகளை செயல்படுத்துகிறது.

  • பாதுகாப்பு அதிகாரி: பாதுகாப்பு தாக்கம் மற்றும் ஒழுங்குமுறை விளைவுகளை மதிப்பிடுகிறார்.

  • தரவு பாதுகாப்பு அதிகாரி (DPO): தனிப்பட்ட தரவு (PII) வேறுபாடின்மை செய்யப்பட்டதா என்பதை மதிப்பிடுகிறது மற்றும் கட்டாய சிடிபிஆர் அறிவிப்புகளை நிர்வகிக்கிறது.

  • தகவல்தொடர்பு முன்னணி: தேவைப்பட்டால் உள் பங்குதாரர்கள் மற்றும் வெளி தரப்பினருக்கு அறிவிப்புகளை நிர்வகிக்கிறது.

செய்தி தொடர்பு தளவாடங்கள்

  • உள் தொடர்பு:

    • முதன்மையான சேனல் என்பது மனிதனுக்கும் மனிதனுக்கும் இடையிலான ஒருங்கிணைப்புக்கான சிக்னல் ஆகும்.

    • சத்தத்தைத் தவிர்க்க, தொழில்நுட்ப விழிப்பூட்டல்கள் சிக்னலுக்கு வெளியே இருக்கும்.

  • வெளிப்புற தொடர்பு:

    • மின்னஞ்சல் வாடிக்கையாளர்களை சென்றடைய பயன்படுகிறது.

    • பணி செயலிழப்புகளின் போது அணுகலை உறுதி செய்வதற்காக வாடிக்கையாளர் தொடர்பு பட்டியல்கள் பல இடங்களில் பராமரிக்கப்படுகின்றன.

  • பொது வெளிப்பாடு:

நிகழ்வு வகைகள் மற்றும் தீவிரம்

நிகழ்வு செயல்படுத்தல்

  • வழக்கமான செயல்பாட்டு இரைச்சலுக்கு அப்பால் சேவையின் இரகசியத்தன்மை, ஒருமைப்பாடு அல்லது கிடைக்கும் தன்மையைப் பாதிக்கும் என ஒரு நிகழ்வு உறுதிசெய்யப்பட்டால் அல்லது வலுவாக சந்தேகிக்கப்படும்போது ஒரு சம்பவத்தை அறிவிக்கவும்.

  • பாதுகாப்பு அதிகாரி சம்பவத்தை அறிவித்து, ஆரம்ப தீவிரத்தை ஒதுக்கி, சம்பவ பதில் தலைமையை (IRL) நியமிக்கிறார்.

  • பாதுகாப்பு அதிகாரி கிடைக்கவில்லை என்றால், எந்த மூத்த ஆபரேட்டரும் சம்பவத்தை அறிவித்து, நடைமுறையில் விரைவில் உரிமையை ஒப்படைக்கலாம்.

  • விசாரணையின் போது நோக்கம் அல்லது தாக்கம் மாறினால் சம்பவத்தை மறுவகைப்படுத்தவும்.

சம்பவ வகைகள்

  • வகை 1 - அங்கீகரிக்கப்படாத அணுகல்

  • வகை 2 - தரவு ஒருமைப்பாடு மீறல்

  • வகை 3 - பணி செயலிழப்பு அல்லது சீரழிவு

  • வகை 4 - தவறான கட்டமைப்பு அல்லது வரிசைப்படுத்தல் பிழை

தீவிர நிலைகள் மற்றும் SLAகள்

தீவிரம்

வரையறை

இலக்கு ஏற்பு

இலக்கு ஆரம்ப நடவடிக்கை

விமர்சனம்

மொத்த செயலிழப்பு; நிர்வாகம் சமரசம்; செயலில் தரவு மீறல்; உடனடி கட்டுப்பாடு தேவைப்படுகிறது.

< 30 நிமிடங்கள்

< 4 மணிநேரம்

அதிக

முக்கிய நற்பொருத்தம் தோல்வி; ஒற்றை பயனரின் PII கசிவு.

< 2 மணிநேரம்

12 மணிநேரம்

சராசரி

செயல்திறன் சரிவு; சிறிய பாதுகாப்பு சிக்கல்.

1 வணிக நாள்

3 வணிக நாட்கள்

குறைந்த

இடைமுகம் பிழைகள்; ச்டேசிங் சிக்கல்கள்; பாதுகாப்பு அல்லாத பிழைகள்.

சிறந்த முயற்சி

சிறந்த முயற்சி

சம்பவ பதில் வாழ்க்கை சுழற்சி

தயாரிப்பு

  • PostgreSQL தரவுத்தளம் மற்றும் தரவு கோப்பகத்தின் வழக்கமான நாள்தோறும் காப்புப்பிரதிகளை வலைபெயர்ப்பு இன் உள்ளமைக்கப்பட்ட காப்புப்பிரதியை சுழற்சியுடன் பயன்படுத்தி உறுதிப்படுத்தவும், பார்க்கவும் காப்புப்பிரதி மற்றும் வலைபெயர்ப்பு நகரும்.

  • வலைபெயர்ப்பு HTTPS (TLS 1.2+) உடன் சரியாக உள்ளமைக்கப்பட்ட ரிவர்ச் ப்ராக்சியை (எ.கா., NGINX) பயன்படுத்துவதை உறுதிசெய்யவும்.

  • அனைத்து நிர்வாக நிலை கணக்குகளுக்கும் 2FA ஐ இயக்கவும்.

  • வலைபெயர்ப்பு நிகழ்வு மற்றும் அதன் சார்புகளை (பைதான், சாங்கோ, செலரி, தரவுத்தளம் போன்றவை) புதுப்பித்த நிலையில் வைத்திருங்கள்.

  • தணிக்கை மற்றும் பயன்பாட்டு பதிவு பகிர்தலுக்கான கெல்ஃப் நெறிமுறையைப் பயன்படுத்தி SIEM அமைப்புகளுடன் ஒருங்கிணைக்கவும்.

அடையாளம் காணல்

  • கணினி மற்றும் பயன்பாட்டுப் பதிவுகளை கண்காணிக்கவும் (journalctl, தலைகீழ் proxy பதிவுகள், வலைபெயர்ப்பு பயன்பாடு மற்றும் தணிக்கை பதிவுகள்).

  • உள்நுழைவு நிகழ்வுகள், வெப்ஊக் மரணதண்டனைகள் மற்றும் புச்/இழுத்தல் தோல்விகளை பகுப்பாய்வு செய்யுங்கள்.

  • பல உள்நுழைவு தோல்விகள், எதிர்பாராத மறுதொடக்கங்கள் அல்லது ஒழுங்கற்ற பகஅ செயல்களுக்கு (Prometheus, Zabbix அல்லது SIEM வழியாக) எச்சரிக்கையை உள்ளமைக்கவும்.

கட்டுப்பாடு

  • வழக்கு ஐடியுடன் ஒரு சம்பவப் பதிவை உருவாக்கவும் மற்றும் நடவடிக்கைகள் எடுக்கப்பட்டவுடன் காலவரிசை புதுப்பிப்புகளைப் பதிவு செய்யவும்.

  • சிக்னல் இல் மனித பதிலை ஒருங்கிணைத்து, தற்போதுள்ள கண்காணிப்பு அமைப்புகளில் தொழில்நுட்ப விழிப்பூட்டலைத் தொடரவும்.

  • For Category 1 or 2 incidents, create a manual Hetzner Cloud Snapshot before taking disruptive action when it is safe to do so.

    • பெயர் வடிவம்: IRP-[CaseID]-[YYYYMMDD]-ஆதாரம்.

    • இவை நிலையான சுழலும் காப்புப்பிரதிகளிலிருந்து தனித்தனியானவை மற்றும் பகுப்பாய்வுக்காக பாதுகாக்கப்பட வேண்டும்.

  • Isolate the affected விருந்தோம்பி or பணி அச் needed (for example by firewall rules or பணி isolation).

  • தாக்குதல் திசையனின் ஒரு பகுதியாக இருந்தால் வெளிப்புற ஒருங்கிணைப்புகளை (git/webhooks) முடக்கு.

  • பாதிக்கப்பட்ட பயனர் கணக்குகளை உடனடியாக நிறுத்தி வைக்கவும்.

  • Revoke or rotate affected administrative, API, VCS, and webhook credentials அச் applicable.

  • Preserve relevant evidence, including மண்டலம் logs, தலைகீழ் proxy logs, வலைபெயர்ப்பு application and audit logs, affected உள்ளமைவு state, and the பட்டியல் of impacted credentials or integrations.

ஒழிப்பு

  • அங்கீகரிக்கப்படாத குறியீடு அல்லது தரவை அகற்றவும்.

  • வலைபெயர்ப்பு அல்லது சேவையக கூறுகளை மேம்படுத்துவதன் மூலம் அறியப்பட்ட பாதிப்புகளை இணைக்கிறது.

  • SHA-256 CHESKSUMS அல்லது GIT பதிவுகளைப் பயன்படுத்தி பைனரி மற்றும் களஞ்சிய ஒருமைப்பாட்டை சரிபார்க்கவும்.

மீட்பு

  • அண்மைக் கால அறியப்பட்ட நல்ல வலைபெயர்ப்பு காப்புப்பிரதிகளிலிருந்து பாதிக்கப்பட்ட சேவைகள் அல்லது தரவை மீட்டெடுக்கவும்.

  • PII மதிப்பீடு: மீறலுக்கு 72 மணிநேர சிடிபிஆர் அறிவிப்பு தேவையா என்பதை DPO தீர்மானிக்கிறது.

  • ஒரு கட்ட அணுகுமுறையில் சேவைகளை மீண்டும் அறிமுகப்படுத்துங்கள்.

  • உறுதிப்படுத்தவும் the மூலம் cause has been removed or a compensating control is in place before restoring normal traffic.

  • Rotate affected credentials and verify integrity of the restored system, repositories, and configuration.

  • The Security Officer and IRL approve returning பெறுநர் normal operations.

  • பதிவுகள் மற்றும் கணினி நடத்தை தொடர்ந்து குறைந்தது 72 மணிநேரத்திற்கு பிந்தைய மீட்டெடுப்பைக் கண்காணிக்கவும்.

முடிவுக்கு பிந்தைய விமர்சனம்

  • காலக்கெடு: நிகழ்வு முடிந்து 5 வணிக நாட்களுக்குள் மதிப்பாய்வு கூட்டத்தை நடத்தவும்.

  • ஒரு முழு சம்பவ காலவரிசை மற்றும் எடுக்கப்பட்ட நடவடிக்கைகளை தொகுக்கவும்.

  • மூல காரணப் பகுப்பாய்வை (RCA) செய்து 10 வணிக நாட்களுக்குள் ஆவணப்படுத்தவும்.

  • கண்டுபிடிப்புகளின் அடிப்படையில் பாதுகாப்புக் கொள்கைகள் மற்றும் IRP ஆவணங்களைப் புதுப்பிக்கவும்.

  • கண்டறிதல் மற்றும் கட்டுப்பாட்டு வழிமுறைகளின் செயல்திறனை மதிப்பாய்வு செய்யவும்.

  • Verify whether escalation, alerting, and external communication followed பாதிப்பு மற்றும் சம்பவ கையாளுதல் அச் expected.