Weblate için olaylara müdahale planı¶
Kapsam ve hedefler¶
Bu olaylara müdahale planı, bir Weblate ile işletilen dağıtımların gizliliğini, bütünlüğünü veya kullanılabilirliğini etkileyen olayları kapsar.
Not
Plan özellikle Weblate s.r.o. tarafından yapılmış dağıtımlar için tasarlanmıştır. Diğer dağıtımların, sağlayıcıya özel ve kuruluşa uygun adımları kendi ortamlarına uyarlaması gerekir.
Roller ve sorumluluklar¶
Olaylara müdahale lideri: Müdahale sürecinin tüm aşamalarını yönetir.
Sistem yöneticisi: Sınırlama ve kurtarma önlemlerini yürütür.
Güvenlik görevlisi: Güvenlik etkisini ve düzenleyici sonuçları değerlendirir.
Veri Koruma Sorumlusu (DPO): Kişisel verilerin (PII) ele geçirilip geçirilmediğini değerlendirir ve zorunlu GDPR bildirimlerini yönetir.
İletişim lideri: İç paydaşlara ve gerektiğinde dış taraflara yapılan bildirimleri yönetir.
İletişim lojistiği¶
- İç iletişim:
İnsandan insana koordinasyon için birinci kanal olarak Signal kullanılır.
Gürültüyü önlemek için teknik uyarılar Signal üzerinden gönderilmez.
- Dış iletişim
Müşterilere ulaşmak için e-posta kullanılır.
Müşteri iletişim listeleri, hizmet kesintileri sırasında erişimi sağlamak için çeşitli konumlarda tutulur.
- Herkese açık duyurular
Bir güvenlik açığı bulunursa Güvenlik açığı ve olay yönetimi yönergelerini izleyin.
Olay kategorileri ve önem düzeyi¶
Olay etkinliği¶
Bir olayı, doğrulandığında veya rutin operasyonel gürültünün ötesinde hizmetin gizliliğini, bütünlüğünü veya kullanılabilirliğini etkilediğinden şüphelendiğinizde duyurun.
Güvenlik Sorumlusu olayı bildirir, ilk önem düzeyini belirler ve Olay Müdahale Liderini (IRL) atar.
Güvenlik sorumlusu uygun değilse, var olan herhangi bir kıdemli operatör olayı bildirebilir ve olabilecek en kısa sürede işi devredebilir.
Soruşturma sırasında kapsam veya etki değişirse olayı yeniden sınıflandırın.
Olay kategorileri¶
Category 1 – Unauthorized Access
Category 2 – Data Integrity Violation
Category 3 – Service Outage or Degradation
Category 4 – Misconfiguration or Deployment Error
Önem düzeyleri ve hizmet düzeyi anlaşmaları¶
Önem düzeyi |
Tanım |
Hedefin kabul edilmesi |
İlk hedef işlemi |
|---|---|---|---|
Kritik |
Toplam kesinti; Yöneticinin ele geçirilmesi; Etkin verilerin ele geçirilmesi; acil sınırlama gerekir. |
< 30 dakika |
< 4 saat |
Yüksek |
Çekirdek özellik sorunu; tek kullanıcının PII sızıntısı. |
< 2 saat |
12 saat |
Orta |
Başarımda düşme; küçük güvenlik sorunu. |
1 iş günü |
3 iş günü |
Düşük |
Kullanıcı arayüzü sorunları; deneme sorunları; güvenlik dışı sorunlar. |
En iyi çaba |
En iyi çaba |
Olaylara müdahale yaşam döngüsü¶
Hazırlık¶
PostgreSQL veri tabanının ve veri klasörünün düzenli olarak günlük yedeklerinin Weblate içindeki çevrimli yedekleme ile alınmasını sağlayın. Ayrıntılı bilgi almak için: Weblate yedeğini alma ve taşıma.
Weblate tarafından doğru yapılandırılmış bir ters vekil sunucu (NGINX gibi) ve HTTPS (TLS 1.2+) kullanıldığından emin olun.
Yönetici düzeyindeki hesaplar için iki adımlı doğrulamayı açın.
Weblate kopyasını ve bağımlılıklarını (Python, Django, Celery, veri tabanı gibi) güncel tutun.
Denetim ve uygulama günlüğü iletimi için GELF iletişim kuralını kullanarak SIEM sistemleriyle bütünleştirin.
Belirleme¶
Sistem ve uygulama günlüklerini izleyin (
journalctl, ters vekil sunucu günlükleri, Weblate uygulama ve denetim günlükleri).Oturum açma olaylarını, internet kancası yürütülmelerini ve itme/çekme hatalarını inceleyin.
Şu uyarıları yapılandırın (Prometheus, Zabbix veya SIEM gibi): Birden fazla oturum açılması, beklenmeyen yeniden başlatmalar veya düzensiz sürüm denetimi sistemi işlemleri.
Sınırlama¶
Bir olay kimliği ile bir olay kaydı açın ve işlem yapıldıkça zaman çizelgesi güncellemelerini kaydedin.
Signal üzerinden insan tepkilerini koordine edin ve var olan izleme sistemlerinde teknik uyarı yapmayı sürdürün.
For Category 1 or 2 incidents, create a manual Hetzner Cloud Snapshot before taking disruptive action when it is safe to do so.
Ad biçimi:
IRP-[CaseID]-[YYYYMMDD]-Evidence.Bunlar standart dönen yedeklemelerden ayrıdır ve inceleme için saklanmalıdır.
Gerekiyorsa etkilenen sunucu ya da hizmete erişimi engelleyin (örneğin, güvenlik duvarı kuralları veya hizmet yalıtımı ile).
Saldırı vektörünün bir parçasıysa dış bütünleştirmeleri (Git/webhooks) kapatın.
Etkilenen kullanıcı hesaplarını derhal askıya alın.
Etkilenen yönetim, API, VCS ve internet kancası kimlik doğrulama bilgilerini yapılabildiği şekilde iptal edin veya değiştirin.
Sistem günlükleri, ters vekil sunucu günlükleri, Weblate uygulama ve denetim günlükleri, etkilenen yapılandırma durumu ve etkilenen kimlik doğrulama bilgilerinin veya bütünleştirmelerin listesi ile ilgili kanıtları koruyun.
Ortadan kaldırma¶
Olmaması gereken izinsiz kod veya verileri kaldırın.
Weblate veya sunucu bileşenlerini yükselterek bilinen güvenlik açıklarını kapatın.
SHA-256 sağlama toplamlarını veya Git günlüklerini kullanarak binary dosyaların ve deponun bütünlüğünü doğrulayın.
Kurtarma¶
Etkilenen hizmetleri veya verileri bilinen son iyi Weblate yedeklerinden geri yükleyin.
PII Değerlendirmesi: Veri koruma ilkesi, ihlalin 72 saatlik bir GDPR bildirimi gerektirip gerektirmediğini belirler.
Aşamalı bir yaklaşımla hizmetleri yeniden sunun.
Normal trafiğe geri dönmeden önce temel nedenin kaldırıldığını veya telafi edici bir önlemin alındığını doğrulayın.
Etkilenen kimlik doğrulama bilgilerini değiştirin ve geri yüklenen sistemin, depoların ve yapılandırmanın bütünlüğünü doğrulayın.
Güvenlik sorumlusu ve Olay müdahale sorumlusu normal işleyişe dönüşü onaylar.
Kurtarma sonrası en az 72 saat boyunca günlükleri ve sistem davranışını sürekli olarak izleyin.
Olay sonrası değerlendirme¶
Zaman akışı: Olayın kapanmasından sonraki 5 iş günü içinde bir inceleme toplantısı düzenleyin.
Tam bir olay zaman çizelgesi hazırlayın ve alınan önlemleri ekleyin.
Kök neden analizi (RCS) yapın ve 10 iş günü içinde belgeleyin.
Bulgulara göre güvenlik ilkesi ve olaylara müdahale planı belgelerini güncelleyin.
Algılama ve kontrol altına alma yapılarının etkinliğini değerlendirin.
Yönlendirme, uyarı ve dış iletişimin Güvenlik açığı ve olay yönetimi olması gerektiği gibi uygulanıp uygulanmadığını doğrulayın.