“过去的这一年，美国或欧洲发生了很多包括数据泄露在内的网络攻击事件。在大中华区也有很多泄漏事件，外在环境告诉我们现在企业越来越重视安全，因为有很多的企业遭受网络的攻击并不是在遥远的美国、欧洲，而是在离我们非常近的地方。这些客户遇到了网络攻击，其实都在跟IBM做交流，想要了解IBM更先进的安全技术。”IBM大中华区安全事业部总经理陈文丰说。

IBM大中华区安全事业部总经理陈文丰

近年来，网络安全事件层出不穷，随之而来的攻击手段越来越多元化，几乎每天都在发生成千上万次的网络攻击，病毒的变种也达到了百万级别，各种新型勒索软件让企业疲于应对。攻击者不再满足于在传统的服务器或终端等硬件上做文章，而是在网络环境的薄弱环节植入恶意代码，进而去发起更多的连锁感染。与此同时，更多的安全风险开始在云端显现，错误配置、漏洞侵入等问题让不少企业蒙受了至少数百万美元的损失。

作为全球最大的企业网络安全供应商，IBM在世界范围内拥有9个安全运维中心，每天监控着700亿次以上的安全事件，为大中型企业提供着全域的安全运维服务，这样的全球视角使得IBM可以将各地实时发生的安全事件共享给其他地区，以便在第一时间做好防御工作。陈文丰谈到：“过去两年，我们深耕大中华区，取得了很好的进展，同时整个的大环境也在改变，过去两年大环境改变非常大。”

环境的巨大改变，并没有得到应有的重视。一项由Ponemon Institute代表IBM开展的调查显示，尽管调研表明企业若能在30天之内快速有效地遏制网络攻击，平均可以节省超过100万美元的数据泄露总成本，但遗憾的是，绝大多数的受访企业仍未针对网络安全事件做好恰当的准备工作，77% 的受访者表示，他们并未在整个企业中统一实施网络安全事件响应计划。

即便是已经实施此类计划的受访企业中，有超过一半 (54%) 表示他们未对计划进行定期测试，这将使得这类企业无法在攻击发生之初，对复杂流程和协调工作的管理做好必要的准备。不利的影响在于，《通用数据保护条例》（GDPR）的出台让数据隐私和相关规范上了一个相当高的层级，而网络安全团队在实施响应计划时所遇到的阻碍，导致GDPR并没有起到如期效果。近半数的受访者 (46%) 表示，虽然 GDPR 正式实施已近一年，但企业尚未做到完全合规。

陈文丰透露，IBM在服务全球客户的过程中，看到了这些客户主要关注两个方面的议题。第一个是应急响应，IBM的解决方案可以将自身的安全运维平台与外部方案打通；第二个是引入了AI技术，使得安全人员的决策时间大幅缩短，让系统可以高度自动化的运转。要知道，只有不到四分之一的受访者表示，他们的企业在事件响应流程中大规模使用自动化技术，如身份管理和身份验证、事件响应平台以及安全信息和事件管理（SIEM）工具等。

2018年数据泄露成本调研表明，自动化工具的部署和使用仍然是企业增强网络弹性能力时有待关注的重要举措。那些充分部署安全自动化解决方案的企业，平均节省了150万美元的数据泄露总成本；而未部署自动化技术的企业在这方面的成本要高很多。此外，那些充分利用自动化技术的受访企业，在处理网络攻击的多个方面的自我评分均高于整体样本，包括网络攻击防御能力（69% vs. 53%）；检测能力（76% vs. 53%）；响应能力（68% vs. 53%）和遏制能力（74% vs. 49%）。

IBM QRadar SIEM可以将分散在整个网络中的数千个设备、终端和应用中的日志事件和网络流数据整合起来，结合Sense Analytics引擎，对这些数据实施规范化和关联处理，并确定需要调查的安全攻击。QRadar SIEM能够支持主流安全厂商的软硬件方案，并且具有高度的自动化水平。例如IBM提供了EUBA和规则引擎等AI模块，所有的事件进来以后可以简化、判断、过滤，进行关联性的分析，最大程度削减安全人员的决策成本。

例如，安全分析人员每天都会收到大量告警，QRadar是以秒计收到多少安全事件的。很多安全事件发生时，诱发点可能是一些重复行为，例如有人试图暴力破解密码，安全人员看到的告警可能是有人登陆密码错误，而背后的诱因或许是一台或多台服务器、防火墙、软件认证等等，信息颇为繁杂。而SIEM平台所做的，首先就是简化大量的重复信息，根据规则将告警“翻译”成直观的安全语言。