Incidenthanteringsplan för Weblate

Omfattning och mål

  • Denna IRP omfattar incidenter som påverkar sekretessen, integriteten eller tillgängligheten för en Weblate-distribution.

  • Det gäller för självhostade Weblate-instanser, oavsett om de finns lokalt eller i molninfrastruktur.

Roller och ansvar

  • Incident Response Lead (IRL): Samordnar alla faser av hanteringsprocessen.

  • Systemadministratör: Genomför åtgärder för begränsning och återställning.

  • Säkerhetsansvarig: Utvärderar säkerhetspåverkan och konsekvenser för regelverket.

  • Kommunikationsansvarig: Hanterar meddelanden till interna intressenter och externa parter vid behov.

Incidentkategorier

  • Kategori 1 – Obehörig åtkomst

  • Kategori 2 – Brott mot dataintegriteten

  • Kategori 3 – Avbrott eller försämring av tjänsten

  • Kategori 4 – Felkonfiguration eller felaktig distribution

Incidenthanteringscykeln

Förberedelse

  • Se till att det görs regelbundna dagliga säkerhetskopior av PostgreSQL-databasen och datakatalogen.

  • Skydda Weblate med omvänd proxy (t.ex. NGINX eller Apache) och HTTPS (TLS 1.2+).

  • Aktivera 2FA för konton på administratörsnivå.

  • Håll Weblate-instansen och dess beroenden (Python, Django, Celery, databas etc.) uppdaterade.

  • Integrera med SIEM-system med hjälp av GELF-protokollet för revision och vidarebefordran av applikationsloggar.

Identifiering

  • Övervaka system- och applikationsloggar (journalctl, omvända proxyloggar, Weblate-applikations- och granskningsloggar).

  • Analysera inloggningshändelser, webhook-körningar och push-/pull-fel.

  • Konfigurera varningar (t.ex. via Prometheus, Zabbix eller SIEM) för: - Flera inloggningsfel - Oväntade omstarter av tjänster eller plötsliga ökningar i minnesanvändning - Oregelbundna push-/pull-åtgärder från versionshanteringssystem

Inneslutning

  • Begränsa tillfälligt åtkomsten (t.ex. via brandväggsregler eller tjänsteisolering).

  • Inaktivera externa integrationer (Git/webhooks) om de ingår i attackvektorn.

  • Stäng omedelbart av berörda användarkonton.

Eliminering

  • Ta bort all obehörig kod eller data.

  • Åtgärda kända sårbarheter genom att uppgradera Weblate eller serverkomponenter.

  • Validera binär- och arkivintegritet med hjälp av SHA-256-kontrollsummor eller Git-loggar.

Återhämtning

  • Återställ drabbade tjänster eller data från de senaste kända fungerande säkerhetskopiorna.

  • Återinföra tjänsterna stegvis.

  • Övervaka loggar och systemets beteende kontinuerligt i minst 72 timmar efter återställningen.

Granskning efter incidenten

  • Sammanställ en fullständig tidslinje över händelsen och vidtagna åtgärder.

  • Utför grundorsaksanalys (RCA).

  • Uppdatera säkerhetspolicyer och IRP-dokumentation.

  • Granska effektiviteten hos mekanismerna för upptäckt och begränsning.