“過去的這一年，美國或歐洲發生了很多包括數據泄露在內的網絡攻擊事件。在大中華區也有很多泄漏事件，外在環境告訴我們現在企業越來越重視安全，因為有很多的企業遭受網絡的攻擊并不是在遙遠的美國、歐洲，而是在離我們非常近的地方。這些客戶遇到了網絡攻擊，其實都在跟IBM做交流，想要了解IBM更先進的安全技術。”IBM大中華區安全事業部總經理陳文豐說。

IBM大中華區安全事業部總經理陳文豐

近年來，網絡安全事件層出不窮，隨之而來的攻擊手段越來越多元化，幾乎每天都在發生成千上萬次的網絡攻擊，病毒的變種也達到了百萬級別，各種新型勒索軟件讓企業疲于應對。攻擊者不再滿足于在傳統的服務器或終端等硬件上做文章，而是在網絡環境的薄弱環節植入惡意代碼，進而去發起更多的連鎖感染。與此同時，更多的安全風險開始在云端顯現，錯誤配置、漏洞侵入等問題讓不少企業蒙受了至少數百萬美元的損失。

作為全球最大的企業網絡安全供應商，IBM在世界范圍內擁有9個安全運維中心，每天監控著700億次以上的安全事件，為大中型企業提供著全域的安全運維服務，這樣的全球視角使得IBM可以將各地實時發生的安全事件共享給其他地區，以便在第一時間做好防御工作。陳文豐談到：“過去兩年，我們深耕大中華區，取得了很好的進展，同時整個的大環境也在改變，過去兩年大環境改變非常大。”

環境的巨大改變，云主機，并沒有得到應有的重視。一項由Ponemon Institute代表IBM開展的調查顯示，盡管調研表明企業若能在30天之內快速有效地遏制網絡攻擊，平均可以節省超過100萬美元的數據泄露總成本，但遺憾的是，絕大多數的受訪企業仍未針對網絡安全事件做好恰當的準備工作，77% 的受訪者表示，他們并未在整個企業中統一實施網絡安全事件響應計劃。

即便是已經實施此類計劃的受訪企業中，有超過一半 (54%) 表示他們未對計劃進行定期測試，這將使得這類企業無法在攻擊發生之初，對復雜流程和協調工作的管理做好必要的準備。不利的影響在于，《通用數據保護條例》（GDPR）的出臺讓數據隱私和相關規范上了一個相當高的層級，而網絡安全團隊在實施響應計劃時所遇到的阻礙，導致GDPR并沒有起到如期效果。近半數的受訪者 (46%) 表示，雖然 GDPR 正式實施已近一年，但企業尚未做到完全合規。

陳文豐透露，IBM在服務全球客戶的過程中，看到了這些客戶主要關注兩個方面的議題。第一個是應急響應，IBM的解決方案可以將自身的安全運維平臺與外部方案打通；第二個是引入了AI技術，使得安全人員的決策時間大幅縮短，讓系統可以高度自動化的運轉。要知道，只有不到四分之一的受訪者表示，他們的企業在事件響應流程中大規模使用自動化技術，如身份管理和身份驗證、事件響應平臺以及安全信息和事件管理（SIEM）工具等。

2018年數據泄露成本調研表明，自動化工具的部署和使用仍然是企業增強網絡彈性能力時有待關注的重要舉措。那些充分部署安全自動化解決方案的企業，平均節省了150萬美元的數據泄露總成本；而未部署自動化技術的企業在這方面的成本要高很多。此外，那些充分利用自動化技術的受訪企業，在處理網絡攻擊的多個方面的自我評分均高于整體樣本，包括網絡攻擊防御能力（69% vs. 53%）；檢測能力（76% vs. 53%）；響應能力（68% vs. 53%）和遏制能力（74% vs. 49%）。

IBM QRadar SIEM可以將分散在整個網絡中的數千個設備、終端和應用中的日志事件和網絡流數據整合起來，結合Sense Analytics引擎，對這些數據實施規范化和關聯處理，并確定需要調查的安全攻擊。QRadar SIEM能夠支持主流安全廠商的軟硬件方案，并且具有高度的自動化水平。例如IBM提供了EUBA和規則引擎等AI模塊，所有的事件進來以后可以簡化、判斷、過濾，進行關聯性的分析，最大程度削減安全人員的決策成本。

例如，directadmin漢化，安全分析人員每天都會收到大量告警，QRadar是以秒計收到多少安全事件的。很多安全事件發生時，誘發點可能是一些重復行為，例如有人試圖暴力破解密碼，安全人員看到的告警可能是有人登陸密碼錯誤，而背后的誘因或許是一臺或多臺服務器、防火墻、軟件認證等等，信息頗為繁雜。而SIEM平臺所做的，首先就是簡化大量的重復信息，根據規則將告警“翻譯”成直觀的安全語言。