ธนาคารในฐานะสถาบันการเงินภาครัฐที่มีบทบาทสำคัญในการให้บริการทางการเงินแก่ประชาชนทั่วประเทศ ได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์และการปกป้องข้อมูลของลูกค้า ในอดีตธนาคารมีระบบจัดเก็บ log ตามที่กฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์กำหนด แต่ระบบดังกล่าวยังเป็นการจัดเก็บแบบกระจัดกระจายในแต่ละหน่วยงาน โดยเน้นการเก็บบันทึกเพื่อให้เป็นไปตามข้อกำหนดของกฎหมายเป็นหลัก ยังไม่มีการนำข้อมูลเหล่านั้นมาวิเคราะห์หรือใช้ประโยชน์ในการตรวจจับภัยคุกคามหรือเหตุการณ์ความปลอดภัยที่อาจเกิดขึ้นภายในระบบ ซึ่งสร้างช่องว่างในการมองเห็นและตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจและความเชื่อมั่นของลูกค้า

จากความท้าทายดังกล่าว ธนาคารจึงมีความสนใจพัฒนาระบบรักษาความปลอดภัยให้ทันสมัยและมีประสิทธิภาพมากขึ้นด้วยการนำเทคโนโลยี Security Information and Event Management หรือ SIEM มาใช้งาน บริษัท แอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยี จำกัด (มหาชน) ได้เข้ามามีบทบาทสำคัญในการให้คำปรึกษาและนำเสนอโซลูชัน Splunk Enterprise Security ซึ่งเป็นแพลตฟอร์ม SIEM ชั้นนำระดับโลกที่ได้รับการยอมรับโดยเฉพาะในภาคการเงินและธนาคาร ทีมงานไม่ได้เป็นเพียงผู้ขายโซลูชัน แต่ยังทำหน้าที่เป็นที่ปรึกษาที่เข้าใจความต้องการและข้อจำกัดของธนาคารอย่างลึกซึ้ง

การดำเนินโครงการเริ่มต้นจากการวิเคราะห์โครงสร้างระบบไอทีและความต้องการด้านความปลอดภัยของธนาคารอย่างละเอียด บริษัทแอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยีได้ให้คำปรึกษาครอบคลุมตั้งแต่การออกแบบสถาปัตยกรรมระบบที่เหมาะสมกับขนาดและความซับซ้อนของโครงสร้างไอที การเลือกอุปกรณ์ฮาร์ดแวร์ที่มีประสิทธิภาพสูงและรองรับการเติบโตในอนาคต รวมถึงการออกแบบโครงสร้างระบบที่มีความยืดหยุ่นและขยายได้ ด้วยประสบการณ์และความเชี่ยวชาญ ทีมงานได้แนะนำให้ธนาคารเริ่มต้นการใช้งาน Splunk Enterprise Security จากระบบที่มีความสำคัญเป็นแนวป้องกันชั้นแรก ได้แก่ ระบบเครือข่ายและระบบรักษาความปลอดภัย (Network and Security Systems) พร้อมด้วยระบบยืนยันตัวตน (Authentication Systems) เพื่อสร้างรากฐานที่มั่นคงและเห็นผลลัพธ์ที่ชัดเจนตั้งแต่เริ่มต้น

การเริ่มจากระบบเหล่านี้เป็นกลยุทธ์ที่มีเหตุผล เนื่องจากเป็นแนวหน้าในการป้องกันภัยคุกคามจากภายนอกและเป็นจุดควบคุมการเข้าถึงทรัพยากรสำคัญขององค์กร ทีมงานได้วางแผนการเชื่อมต่อระบบต่างๆ เข้ากับ Splunk Enterprise Security อย่างรอบคอบ รวมถึงอุปกรณ์ไฟร์วอลล์ ระบบป้องกันและตรวจจับการบุกรุก สวิตช์และเราเตอร์ ระบบป้องกันไวรัสและมัลแวร์ ระบบป้องกันการรั่วไหลของข้อมูล และระบบยืนยันตัวตนต่างๆ เช่น Active Directory, LDAP, Single Sign-On และ Multi-Factor Authentication การรวบรวม log จากระบบเหล่านี้ทำให้ธนาคารมองเห็นภาพรวมของสถานะความปลอดภัยทั้งภายนอกและภายในเครือข่าย พร้อมทั้งการเข้าถึงและการใช้งานของผู้ใช้ทุกคนได้อย่างครบถ้วน

จุดแข็งสำคัญของ Splunk Enterprise Security คือความสามารถในการเป็นระบบรวมศูนย์ที่แท้จริง แทนที่จะตรวจสอบ log จากหลายระบบที่กระจัดกระจาย Splunk Enterprise Security ทำหน้าที่เป็น Single Pane of Glass ที่รวบรวมข้อมูลจากทุกแหล่งมาไว้ที่เดียว ทีมงานได้พัฒนา Use Cases และ Correlation Rules ที่เฉพาะเจาะจง เช่น การตรวจจับการโจมตีแบบ Brute Force, Command and Control Communication, DDoS, Data Exfiltration, การเข้าสู่ระบบล้มเหลวหลายครั้ง, Impossible Travel, การเข้าถึงนอกเวลาทำงาน, การใช้บัญชีที่ถูกระงับ, Privilege Escalation และการเปลี่ยนแปลงการตั้งค่าโดยไม่ได้รับอนุญาต

สิ่งสำคัญที่สุดคือการวิเคราะห์ข้อมูลอย่างละเอียดและเป็นระบบ ทีมงานไม่ได้เพียงติดตั้งระบบและส่งมอบ แต่ยังทำการวิเคราะห์ข้อมูลเพื่อให้ธนาคารเห็นภาพสถานะความปลอดภัยที่แท้จริง การวิเคราะห์ครอบคลุมการตรวจสอบการพยายามโจมตีจากภายนอก การระบุรูปแบบการโจมตีและแหล่งที่มาของภัยคุกคาม การประเมินประสิทธิภาพของระบบป้องกันที่มีอยู่ การค้นพบพฤติกรรมการใช้งานที่น่าสงสัย เช่น การเข้าสู่ระบบในเวลาหรือสถานที่ผิดปกติ การใช้งาน Privileged Accounts ที่ไม่สอดคล้องกับหน้าที่ การเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับงาน และการใช้งาน Dormant Accounts ที่อาจถูกบุกรุก การวิเคราะห์ยังระบุช่องว่างในการป้องกัน Rules ที่ล้าสมัย และความสัมพันธ์ระหว่างเหตุการณ์เพื่อตรวจจับ Advanced Persistent Threats

ผลการวิเคราะห์ถูกนำเสนอในรูปแบบรายงานที่ครอบคลุมและเข้าใจง่าย แสดงภาพรวมของสถานะความปลอดภัยปัจจุบัน จุดแข็งและจุดอ่อน ภัยคุกคามที่พบ และข้อเสนอแนะในการปรับปรุง รายงานนี้เป็นข้อมูลสำหรับทั้งทีมไอทีและผู้บริหารระดับสูงในการตัดสินใจเชิงกลยุทธ์ นอกจากนี้ยังมี Dashboard แบบเรียลไทม์ที่แสดงสถิติการโจมตี แหล่งที่มาของภัยคุกคาม จำนวนการเข้าสู่ระบบล้มเหลว และการเข้าถึงที่ผิดปกติ ทำให้ธนาคารติดตามสถานการณ์ได้ตลอดเวลาและตอบสนองได้รวดเร็ว

บริษัทแอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยียังให้ความสำคัญกับการถ่ายทอดความรู้และทักษะให้กับทีมงานธนาคาร โดยจัดอบรมเชิงปฏิบัติการเกี่ยวกับการใช้งาน Splunk การเขียน Search Query การสร้าง Dashboard การพัฒนา Use Cases และการตอบสนองต่อเหตุการณ์ความปลอดภัย ทำให้ทีมงานสามารถดำเนินการได้เองและพัฒนาต่อยอดได้ในอนาคต

ผลลัพธ์ที่ได้รับเกินกว่าความคาดหมาย ธนาคารได้รับระบบที่ตรวจจับและแจ้งเตือนภัยคุกคามทั้งจากภายนอกและภายในได้แบบเรียลไทม์ ลดเวลาตอบสนองต่อเหตุการณ์จากหลายชั่วโมงเหลือไม่กี่นาที ทีมรักษาความปลอดภัยระบุและสืบสวนเหตุการณ์ได้รวดเร็วและแม่นยำมากขึ้น สามารถตรวจสอบการเข้าถึงและการใช้งานของผู้ใช้แต่ละคนได้อย่างละเอียด ปฏิบัติตามข้อกำหนดของหน่วยงานกำกับดูแลได้ครบถ้วน และที่สำคัญคือได้รับความเข้าใจอย่างลึกซึ้งเกี่ยวกับสถานะความปลอดภัยที่แท้จริง ไม่ใช่แค่การมีระบบ แต่เป็นการมีระบบที่ทำงานได้จริงและให้คุณค่าในการปกป้ององค์กร ความสำเร็จนี้สร้างความเชื่อมั่นในการขยายการใช้งาน Splunk Enterprise Security ไปยังระบบอื่นๆ ในอนาคต เช่น ระบบเซิร์ฟเวอร์ แอปพลิเคชัน และฐานข้อมูล

ปัจจุบันธนาคารใช้งาน Splunk Enterprise Security เป็นระบบหลักในการบริหารจัดการความปลอดภัยทางไซเบอร์ และมีการพัฒนาปรับปรุง Use Cases อย่างต่อเนื่องเพื่อให้สอดคล้องกับภัยคุกคามที่เปลี่ยนแปลง ความสำเร็จนี้เกิดจากความเข้าใจธุรกิจอย่างลึกซึ้ง ความเชี่ยวชาญของทีมงานในอุตสาหกรรมการเงิน การเลือกใช้ Splunk Enterprise Security ที่มีความสามารถครอบคลุม การให้ความสำคัญกับการวิเคราะห์ข้อมูลเพื่อสร้างความเข้าใจที่แท้จริง และการสนับสนุนถ่ายทอดความรู้อย่างต่อเนื่อง โครงการนี้แสดงให้เห็นถึงความสามารถของแอ็ดวานซ์อินฟอร์เมชั่นเทคโนโลยีในการเป็นพันธมิตรที่เชื่อถือได้และส่งมอบโซลูชันพร้อมการวิเคราะห์และคำแนะนำที่มีคุณค่าที่ตอบโจทย์ความต้องการที่ซับซ้อนของภาคการเงินได้อย่างมีประสิทธิภาพ