果核數位選定IBM QRadar EDR，成為MDR服務策略的關鍵拼圖

近年隨著數位轉型、混合式辦公等風潮延燒，無論一般企業，甚或政府、金融等高機敏性產業都逐漸擁抱雲端應用，導致傳統防護邊界趨於模糊，連帶讓企業或機構面對更加嚴峻的資安態勢。

果核數位總經理丁瑋明表示，礙於多數企業或機構的人才與技能底蘊不足，經營者體認到要想妥善處理日益複雜的資安保全和IT維運問題，難度急遽升高，於是傾向採取託管方式，藉由外部專業公司代為管理資安及IT基礎建設。

著眼於此，果核積極佈局資安、雲端等託管服務，期盼滿足廣大用戶的殷切需求。目前規劃優先推出資安託管服務，主要是以蘊含多重獨到優勢的IBM Security QRadar EDR端點偵測與回應工具為基底，結合果核提供的外部資產盤點、客製化規則撰寫、客製化週期報告等加值服務內容，形成完善的MDR機制，協助企業或機構有效抵禦接踵而至的資安威脅。

轉型資安託管服務，以EDR/MDR為全新切入點

丁瑋明說，隸屬橘子集團的果核，有鑑於母公司身處頻繁遭受資安攻擊的遊戲服務領域，所以從很早就身繫全集團防禦重任，不斷精進資安防禦與資安顧問能量，迄今已累積深厚的SOC委外服務歷練，甚至在服務自家集團之餘、還將觸角延伸至外部公私部門。

值得一提，早在6、7年前，果核觀察到越來越多新型態惡意攻擊鎖定PC、POS等端點設備，而傳統Pattern-based防毒軟體逐漸力有未逮，因而意識到急需建立端點異常行為偵測與阻斷機制，便開始接觸EDR技術，且協助集團部署EDR解決方案。

爾後果核也觀察到傳統SOC機制日漸遇上瓶頸，主要是多數客戶考量一旦託管的設備量太大、上傳的日誌量過多，恐加重成本負擔，於是將託管範圍限縮於防火牆、IPS等少數標的；此舉難免限制關聯分析的廣度與深度，不利於探索攻擊事件全貌。

考量及此，果核今年（2023）進行資安託管服務轉型，以EDR/MDR為新的切入點。主要著眼點在於，拜AI/ML/DL技術成熟所賜，現今EDR偵測能力有著長足進步，操作介面也更直覺友善，與早年相比不可同日而語；影響所及，現今的EDR普遍具有強大過濾甚至阻絕功能，因此MDR託管中心僅需接收過濾後的精準資訊，即可快速解析威脅活動脈絡，而用戶也能憑藉更合理的支出，準確定位安全威脅、隨即展開補強措施，有效提升資安防護韌性。

運用獨家OS代理架構，讓威脅活動可視可控

果核數位產品推廣部資深經理卓俊豪指出，果核已經累積豐富的實測經驗，非常瞭解各EDR品牌工具的技術特色、支援能力、服務模式與價位，另一方面也充分掌握大中小型企業組織對EDR和MDR的選購意向，有助於擇優選定最適合國內用戶啟用的EDR解決方案。

約莫兩年多前，果核便十分關注ReaQta EDR，認它正是適用於國內企業組織的理想選擇，於是開始嘗試在客戶端推廣，獲得諸多好評。後來ReaQta被IBM併購，原產品更名為IBM Security QRadar EDR。

果核考量IBM擁有完整資安佈局，使得QRadar EDR能夠與其他資安產品緊密整合、發揮更大功效，加上IBM在地支援體系相對健全；凡此種種，皆能為QRadar EDR加分。於是果核與IBM洽談合作，並在今年中定案，雙方正式建立合作關係。

卓俊豪還原果核青睞QRadar EDR的原因，在於其採用虛擬化NanoOS端點代理程式技術架構。有別於其他EDR裝設於作業系統的應用層，QRadar EDR能將其安裝至系統底層的核心層，藉此達到端點程式和活動的詳細可視性，且具備更完整的端點可控性、及早因應威脅活動提前施展應對策略。

其次現今大多數EDR都走SaaS供應模式，反觀QRadar EDR除依舊支援SaaS外，另可協助客戶落地On-premises環境，算是少見的利基；如此便可確保端點資料的傳輸流向、中控台的所在位置，都落在客戶 自家環境或是 指定的合法境內環境，這點對於機敏性產業可說至關重要。

再者QRadar EDR支援檢測策略（Destra）腳本，使客戶能超越預配置模式，客製化自定的檢測策略，而不像其他EDR僅能採用預設的檢測政策，可協助客戶因應需求制定特定的檢測及合規需求。

積極籌備落地版方案，實現MDR最後一哩佈建

丁瑋明補充說，部份EDR較像是黑盒子，不提供Log，僅告知事件處理的結果。但果核擁有SOC中心與白帽駭客團隊，經常需要針對事件進行更深入調查，因此偏好能夠提供更多詳盡資訊的EDR，而QRadar EDR正是屬於這般型態，有助於果核將端點安全事件資訊整合到SIEM平台，進而為MDR客戶提供更精確的關聯分析與事件調查結果。

自今年下半年起，果核開始推廣IBM Security QRadar EDR，陸續爭取到十多家企業機構的青睞，成績不俗。截至目前，果核推廣模式均為SaaS，但與此同時已和IBM的臺灣團隊、甚至亞太團隊密切聯繫，為果核下一階段的落地版QRadar EDR推廣計畫預作準備。據悉，目前部份金融機構已表達對落地版QRadar EDR的採用意願，果核將致力滿足他們的需求。

但果核針對落地版EDR的佈局規畫，不僅在於協助機敏性產業將EDR佈建於內部環境而已，還計劃將QRadar EDR落地在果核機房端，同樣在資料不離境前提下，透過MDR方式服務廣大的中小企業，甚至其餘中大型客戶若無意斥資自建EDR，亦可採用以果核機房為核心的MDR服務。此項計畫正在緊鑼密鼓籌備，相關服務的內容及細節都在準備中，可望在2024年初登場。