Risk Management
© tungnguyen0905

Effizientes Risk Event Handling in Maximo IT

Die neue Lösung für den sicheren Betrieb

Die moderne IT-Infrastruktur von Behörden und Unternehmen ist zunehmend komplex und unterliegt vielfältigen Bedrohungen. Ein effektives Risk Event Handling ist daher unerlässlich, um die Sicherheit der Systeme zu gewährleisten und Risiken frühzeitig zu erkennen. In diesem Beitrag beleuchten wir, wie Maximo IT, die neue und offizielle Version des früheren IBM Control Desk (ICD), diese Aufgabe meistert und vergleichen den Ansatz mit anderen Service-Management-Tools wie ServiceNow.

Definition und Bedeutung von Risk Events

Risk Events in der IT umfassen sicherheitsrelevante Vorfälle, die die Integrität, Verfügbarkeit und Vertraulichkeit von Daten und Systemen gefährden können. Diese Ereignisse werden durch externe Sicherheitslösungen wie Bitdefender (eine Software zur Abwehr von Viren, Malware und anderen Bedrohungen) und BlueCoat (ein Anbieter von Netzwerksicherheitslösungen) erkannt und gemeldet. Beispiele sind das Auffinden von Viren, Trojanern oder verdächtigen Aktivitäten auf Rechnern.

In Maximo IT werden diese Meldungen zentral in der Anwendung "Risk Event Handling" gesammelt, analysiert und bearbeitet. Diese Funktionalität ist kein Standard in Maximo IT, sondern wurde auf Basis der Incident-Anwendung selbst entwickelt. Jedes Risk Event wird als Eintrag erfasst, klassifiziert und durchläuft einen strukturierten Bearbeitungsprozess, der sicherstellt, dass alle notwendigen Maßnahmen koordiniert und dokumentiert werden, um auf die Bedrohung angemessen zu reagieren.

Herausforderungen: Umgang mit "False Positives“

Eine große Herausforderung im Risk Event Handling sind die sogenannten "False Positives" – Fälle, die fälschlicherweise als sicherheitskritisch eingestuft werden. Verschiedene Studien zeigen, dass ein erheblicher Anteil der gemeldeten Sicherheitsvorfälle in Wahrheit keine echten Bedrohungen darstellt. Laut dem Ponemon Institute beläuft sich die Rate der „False Positives“ in Sicherheitssystemen auf bis zu 45%, was den Arbeitsaufwand für IT-Teams deutlich erhöht. Der Gartner-Bericht zur IT-Sicherheitsautomatisierung spricht sogar von bis zu 50% an „False Positives“, was die Notwendigkeit für bessere Erkennungsmechanismen und Automatisierung unterstreicht. Auch das SANS-Institute bestätigt diese Herausforderung und berichtet, dass in bestimmten Umgebungen bis zu 60% der gemeldeten Vorfälle als Fehlalarme identifiziert werden, was die Effizienz der Incident-Response-Teams stark beeinträchtigt.

  • Beispiel: Ein Mitarbeiter surft privat auf seinem Arbeitsrechner und lädt eine unwichtige Datei herunter, die vom Sicherheitssystem fälschlicherweise als Bedrohung eingestuft wird.

Durch den hohen Anteil an „False Positives“ wird die Effizienz des Security-Teams beeinträchtigt, da wertvolle Ressourcen auf die Analyse dieser Fälle verwendet werden müssen. Maximo IT bzw. das entwickelte Risk Event Handling Modul begegnet dieser Herausforderung durch gezielte Automatisierungen und spezielle Strategien zur Reduktion von „False Positives“.

Automatisierte Prozesse zur Optimierung des Workflows

Maximo IT bietet umfassende automatisierte Prozesse, die das Risk Event Handling insgesamt effizienter gestalten. Sobald ein neues Risk Event erkannt wird, erstellt das System automatisch einen Eintrag und benachrichtigt die zuständigen Mitarbeiter der Operativen Sicherheit per E-Mail. Diese E-Mail enthält alle relevanten Informationen und einen direkten Link zum entsprechenden Eintrag, was eine rasche Reaktion ermöglicht.

Automatisierte Benachrichtigungen sind ein zentraler Aspekt moderner IT-Sicherheitslösungen, da sie sicherstellen, dass keine Zeit verloren geht, wenn ein sicherheitskritischer Vorfall erkannt wird. Laut dem Forschungs- und Beratungsunternehmen Gartner sind schnelle Reaktionszeiten entscheidend, um Schäden durch Cyberangriffe zu minimieren.

Maximo IT verknüpft die Einträge automatisch mit den passenden Arbeitsplänen und sorgt dafür, dass die notwendigen Aufgaben effizient und korrekt abgearbeitet werden, indem Mitarbeiter mittels Workflow-Engine Schritt für Schritt durch den Arbeitsplan geführt werden. Dies ist besonders wichtig angesichts des Fachkräftemangels, da viele externe Mitarbeiter im Unternehmen arbeiten und sich mit den spezifischen internen Prozessen nicht auskennen.

Maximo Risk Management
Risk Event Management in Maximo IT. Zum Vergrößern bitte anklicken.

Gezielte Bedrohungsanalyse durch CMDB-Integration und Hash-Überprüfung

Ein weiterer Vorteil ist die Anreicherung von Daten und Einträgen durch bekannte Datensätze aus der Configuration Management Database (CMDB). Dies ermöglicht es, sofort zu erkennen, wem ein betroffener PC oder Server gehört, welche Software darauf installiert ist, und welche Abhängigkeiten bestehen. Dadurch wird die Effizienz in der Bearbeitung der Risk Events erheblich gesteigert.

  • CMDB: Eine Datenbank, die alle Komponenten einer IT-Umgebung und deren Beziehungen zueinander dokumentiert.

Zusätzlich wird eine SHA256-Hash-Analyse über VirusTotal.com durchgeführt, die verdächtigen Dateien oder URLs gegen eine umfangreiche Datenbank bekannter Bedrohungen abgleicht. VirusTotal verwendet Hunderte von Antiviren-Engines und weitere Sicherheitstools, um eine Datei- oder URL-Sicherheit umfassend zu bewerten und potenzielle Bedrohungen zu identifizieren. Durch den Abgleich der Ergebnisse von VirusTotal mit weiteren Sicherheitstools und Anbietern wird eine gezielte Vorkategorisierung der Tickets und Events möglich. So kann je nach Endpoint-Typ differenziert auf die Bedrohung reagiert werden, da unterschiedliche Maßnahmen je nach Gerätetyp erforderlich sind.

APTs: Eine wachsende Bedrohung im digitalen Zeitalter
APTs
VDZ-Partner
Sicherheit, Zusammenhalt & Verteidigung

APTs: Eine wachsende Bedrohung im digitalen Zeitalter

Verborgene Angriffe auf zentrale Systeme

Vergleich mit anderen Service-Management-Tools: ServiceNow und AIOps

Neben Maximo IT bietet auch ServiceNow eine umfassende Lösung für das Risk Event Handling an. ServiceNow integriert die Verwaltung von Sicherheitsvorfällen eng mit den übrigen IT-Service-Management-Prozessen. Dies ermöglicht eine durchgängige Nachverfolgung von Sicherheitsvorfällen, von der Erkennung bis zur Lösung.

ServiceNow setzt stark auf Automatisierung, insbesondere durch seine Security Incident Response (SIR)-Applikation, die mit Threat Intelligence-Feeds (Datenquellen, die Informationen über potenzielle Bedrohungen wie neue Malware oder Sicherheitslücken bereitstellen) und anderen Sicherheitstools integriert ist. Diese Lösung ermöglicht eine effiziente Priorisierung, Analyse und Abarbeitung von Sicherheitsvorfällen. Der Einsatz von KI-basierten Empfehlungen (durch Künstliche Intelligenz generierte Vorschläge basierend auf der Analyse großer Datenmengen und vergangener Vorfälle) sorgt dafür, dass Sicherheitsvorfälle schneller und präziser bearbeitet werden. ServiceNow bietet zudem erweiterte Reporting-Funktionen, die es ermöglichen, den Verlauf und die Auswirkungen von Risk Events detailliert zu analysieren.

Andere Tools, wie AIOps und Atlassian, nutzen ebenfalls Künstliche Intelligenz, um False Positive-Fälle zu bewerten und den Arbeitsaufwand zu reduzieren. Diese Technologien analysieren automatisch große Mengen an Daten und identifizieren echte Bedrohungen, was die Effizienz der Sicherheitsprozesse erheblich steigert.

Maximo IT: Steuerung der Reaktion auf Risk Events

Maximo IT steuert die Reaktion und Dokumentation eines Risk Events, übernimmt jedoch nicht die eigentliche Abwehr. Die Abwehrmaßnahmen werden durch externe Schutzmodule wie Bitdefender und BlueCoat ausgeführt. Maximo IT sorgt für eine genaue Durchführung und Aufzeichnung der Schritte und erleichtert die Nachverfolgung, indem es den gesamten Bearbeitungsprozess verwaltet und dokumentiert. Auf jede Bedrohung kann individuell reagiert werden, aber der Analyst wird in Maximo IT immer passend zum jeweiligen Vorfall durch den Prozess geführt.

Detaillierte Auswertungen und Nachverfolgung

Nach der Bearbeitung eines Risk Events ist eine sorgfältige Analyse unerlässlich. Maximo IT bietet spezialisierte Tools zur Auswertung, die es den Bearbeitern ermöglichen, die Effektivität der ergriffenen Maßnahmen zu überprüfen und Optimierungspotenziale zu identifizieren. Diese Ergebnisse werden im System gespeichert und können für zukünftige Analysen herangezogen werden.

Die Nachverfolgung und Analyse von Risk Events sind entscheidend für die kontinuierliche Verbesserung der Sicherheitsstrategien. Laut dem US-amerikanischen National Institute of Standards and Technology (NIST), einer Behörde, die Standards und Leitlinien für IT-Sicherheit entwickelt, ist die Dokumentation und Analyse vergangener Sicherheitsvorfälle ein wesentlicher Bestandteil der Risikomanagement-Strategie.

Schlussfolgerung

Das Risk Event Handling in Maximo IT bietet eine effiziente und strukturierte Methode, um sicherheitsrelevante Vorfälle zu bewältigen. Durch den Einsatz automatisierter Prozesse und klar definierter Workflows wird sichergestellt, dass keine wichtigen Schritte übersehen werden und die Integrität der Systeme gewahrt bleibt. In Zeiten zunehmender Cyber-Bedrohungen ist eine solche Lösung von unschätzbarem Wert für die Aufrechterhaltung der Sicherheit und den Schutz sensibler Daten.

Quellen:
  1. Gartner, “Importance of Automation in IT Security Management”, 2023.
  2. NIST, “Risk Management Framework for Information Systems and Organizations”, 2022.
  3. ServiceNow, “Security Incident Response: Leveraging AI and Automation for Faster Incident Management”, 2023.
  4. Ponemon Institute, “Cost of a Data Breach Report”, 2023.
  5. Gartner, “Importance of Automation in IT Security Management”, 2023.
  6. SANS Institute, “Incident Response: How to Handle Security Breaches”, 2022.

geschrieben von Koffi Donatien Hounsa