Skenery zraniteľností nachádzajú problémy. GLPI sleduje aktíva a riadi prácu. Medzera medzi týmito dvoma systémami je miestom, kde sa na zraniteľnosti zabúda. Skener nahlási 847 nálezov. Niekto exportuje tabuľku. Tabuľka sa rozošle e-mailom. O tri týždne nikto nevie, ktoré nálezy boli opravené, ktoré boli akceptované ako riziko a na ktoré sa nikto ani nepozrel. GLPI dokáže túto medzeru uzavrieť tým, že poslúži ako centrálny tracker celého životného cyklu: objavenie, triedenie, náprava, overenie.
Čo GLPI prináša do správy zraniteľností
GLPI nie je skener a nemalo by sa za neho vydávať. Poskytuje však kontext aktív, ktorý skenerom chýba, a workflow engine, ktorý tabuľkám chýba. Každý nález zraniteľnosti musí byť prepojený s konkrétnym zariadením, priradený konkrétnej osobe, sledovaný cez konkrétny proces a uzavretý s dôkazom. GLPI toto všetko už robí pre incidenty a servisné požiadavky — rovnaká mechanika platí pre nápravu zraniteľností.
Ukladanie dát o zraniteľnostiach pomocou pluginov
Plugin Additional Fields
Plugin Additional Fields umožňuje pridávať vlastné dátové polia na akýkoľvek typ objektu v GLPI. Pre sledovanie zraniteľností vytvorte blok polí na objektoch Computer a NetworkEquipment s týmito poliami:
- CVE ID (textové pole)
- Závažnosť (dropdown: Critical, High, Medium, Low)
- Zdroj skenera (dropdown: Nessus, OpenVAS, Qualys, Manuálny)
- Dátum objavenia (dátumové pole)
- Termín nápravy (dátumové pole)
- Stav (dropdown: Otvorený, Prebieha, Zmiernený, Akceptované riziko, Falošný pozitív)
Tento prístup vkladá dáta o zraniteľnostiach priamo do záznamu aktíva. Ktokoľvek, kto sa pozrie na počítač v GLPI, okamžite vidí jeho stav zraniteľností.
Plugin Generic Object
Pre štruktúrovanejšie sledovanie plugin Generic Object umožňuje vytvoriť úplne nový typ objektu — napríklad "Nález zraniteľnosti" — s vlastnými poliami, kritériami vyhľadávania a životným cyklom. Nálezy potom prepojíte s aktívami pomocou štandardného linkovania položiek v GLPI. Toto je čistejšie riešenie pre organizácie, ktoré sledujú stovky nálezov a potrebujú dedikovaný reporting.
Integrácia s externými skenermi
Praktická otázka je, ako sa dáta o zraniteľnostiach dostanú zo skenera do GLPI. Existujú dva hlavné prístupy.
CSV import
Väčšina skenerov exportuje nálezy ako CSV. Plugin Data Injection v GLPI vie importovať CSV súbory a namapovať stĺpce na polia GLPI. Mapovaciu šablónu nastavíte raz a následné importy sa riadia rovnakým vzorom. Toto funguje dobre pre periodické skeny — spustíte sken týždenne, exportujete CSV, importujete do GLPI.
API integrácia
Pre kontinuálne skenovanie alebo väčšie prostredia použite GLPI REST API na programatické vytváranie nálezov. Middleware skript číta API skenera (Nessus aj Qualys majú dobre zdokumentované API; OpenVAS používa GMP protokol), priradí nálezy k aktívam v GLPI podľa IP alebo hostname a vytvára alebo aktualizuje záznamy cez POST /apirest.php/Ticket alebo aktualizuje vlastné polia cez PUT /apirest.php/Computer/{id}.
Krok priraďovania je kritický. Ak skener hlási zraniteľnosť na IP 10.0.1.45, skript musí túto adresu rozlíšiť na správny záznam počítača v GLPI. Priraďujte najprv podľa IP adresy, záložne podľa hostname a označte všetko, čo sa nepodarilo priradiť — nepriradený nález znamená buď neoprávnené zariadenie, alebo medzeru v inventári, a oboje si vyžaduje pozornosť.
Automatické vytváranie tiketov na nápravu
Najúčinnejší workflow automaticky vytvára tiket v GLPI pre každý nález úrovne Critical alebo High. Tiket obsahuje CVE ID, dotknuté aktívum (prepojené cez záložku Items), výstup skenera a termín nápravy podľa závažnosti (napr. Critical = 72 hodín, High = 2 týždne). Obchodné pravidlá GLPI môžu tieto tikety automaticky priradiť skupine zodpovednej za dotknutú entitu alebo lokalitu.
Nálezy úrovne Medium a Low sa dajú zoskupiť — jeden tiket za skenový cyklus sumarizujúci všetky stredné nálezy, prepojený s relevantnými aktívami. Tým sa predíde zahlteniu tiketmi a zároveň sa náprava stále sleduje.
Meranie priemerného času nápravy
S nálezmi zraniteľností sledovanými ako tikety vám vstavané štatistiky GLPI dajú priemerný čas nápravy (MTTR) zadarmo. Filtrujte tikety podľa kategórie zraniteľností a modul Štatistiky ukáže priemerný čas riešenia podľa závažnosti, podľa entity, podľa pridelenej skupiny. Toto je metrika, ktorá vedenie bezpečnosti zaujíma najviac, a nevyžaduje žiadne dodatočné nástroje, keď dáta žijú v GLPI.
Dajú sa sledovať aj trendy: zlepšuje sa MTTR z kvartálu na kvartál? Sú niektoré tímy konzistentne pomalšie? Generujú určité typy aktív opakované nálezy? Dáta už existujú — stačí sa na ne opýtať.
Kompletný cyklus
Skener objaví zraniteľnosť. Nález sa importuje do GLPI a prepojí s dotknutým aktívom. Vytvorí sa tiket na nápravu a priradí sa zodpovednej osobe. Technik záplatuje alebo zmierni problém, uzavrie tiket s poznámkou o riešení. Ďalší sken potvrdí opravu. Stav nálezu sa aktualizuje na Zmiernený. Celý životný cyklus je zdokumentovaný s časovými pečiatkami, zodpovednými osobami a dôkazmi — presne to, čo audítori očakávajú.