Datablink กับเทคโนโลยี Multi-factor Authentication สำหรับธนาคารและองค์กรขนาดใหญ่ ปกป้องทุกการยืนยันตัวตนและทำ Transaction ให้ปลอดภัย

datablink_logo_h50

เมื่อการทำธุรกรรมทางการเงินออนไลน์ กลายเป็นหนึ่งในช่องทางที่สะดวกที่สุดในปัจจุบัน และได้รับความนิยมอย่างแพร่หลาย สิ่งหนึ่งที่เพิ่มขึ้นเป็นเงาตามตัวมาด้วยก็คือ การโจมตีระบบของธนาคารหรือองค์กรเหล่านี้ เพื่อทำการขโมยเงินออกไปด้วยวิธีการที่หลากหลาย ไม่ว่าจะเป็นการทำ Social Engineering เพื่อหลอกขโมยรหัสผ่านหรือ OTP, การทำ Identity Theft, การใช้ Trojan หรือ Malware หรือแม้แต่การสร้างเว็บไซต์ปลอมเพื่อหลอกขโมยข้อมูลก็ตาม

Datablink เป็นบริษัทที่มุ่งเน้นการพัฒนาเทคโนโลยีเพื่อช่วยให้การยืนยันตัวตนและการทำ Transaction ทางการเงินต่างๆ มีความปลอดภัยมากยิ่งขึ้น และช่วยแก้ไขปัญหาที่เกิดขึ้นจากการโจมตีระบบในการทำธุรกรรมทางการเงินต่างๆ

 

การขโมยเงินผ่านบัตรเครดิตและเดบิต สร้างความเสียหายถึง 12,000 ล้านเหรียญดอลลาร์สหรัฐต่อปี และการขโมยข้อมูลลูกค้าภายในองค์กร

จากผลการศึกษาพบว่าการขโมยเงินผ่านทางบัตรเครดิตและเดบิตนั้น สร้างความเสียหายทั่วโลกมากถึง 12,000 ล้านเหรียญดอลลาร์สหรัฐต่อปี หรือราวๆ 432,000 ล้านบาทไทย และทำให้สถาบันการเงินหรือองค์กรต่างๆ นั้นเกิดความเสียหายอย่างต่อเนื่องเป็นวงกว้าง ไม่ว่าจะเป็นเงินที่สูญหาย, ความเสียหายที่เกิดขึ้นกับธุรกิจทางอ้อม และการลงทุนทางด้านระบบรักษาความปลอดภัยที่ไม่รู้จบ

นอกจากนี้ ถึงแม้บางองค์กรจะมีการรักษาความปลอดภัยของระบบเครือข่ายภายในองค์กรเป็นอย่างดี แต่เมื่อธุรกิจมีขนาดใหญ่และต้องทำการเชื่อมต่อกับองค์กรของลูกค้าและคู่ค้าภายนอกของบริษัทนั้น การควบคุมความปลอดภัยในส่วนนั้นก็ไม่สามารถบังคับหรือควบคุมได้อย่างครอบคลุม และกลายเป็นช่องทางที่ถูกใช้ในการโจมตีกันอย่างแพร่หลาย และสร้างความเสียหายให้กับองค์กรได้อย่างมหาศาลทั้งในแง่ของสินทรัพย์และชื่อเสียง

 

เมื่อการยืนยันตัวตนด้วย Two-Factor Authentication แบบเดิมไม่เพียงพออีกต่อไป

การยืนยันตัวตนด้วย Two-Factor Authentication นั้น ในทางทฤษฏีจะสามารถช่วยให้องค์กรปลอดภัยจากการถูกขโมยรหัสผ่านได้ เนื่องจากถึงแม้ผู้โจมตีนั้นจะมี Username และ Password ของเป้าหมายที่ครบถ้วน แต่ถ้าหากไม่มีข้อมูลยืนยันตัวตนเสริมอย่างรหัสผ่าน OTP หรือ Hardware Token นั้น ผู้โจมตีก็จะไม่สามารถผ่านด่านการยืนยันตัวตนเข้าไปได้

สิ่งที่ผู้โจมตีพยายามทำก็คือ การโจมตีหลังจากที่ผู้ใช้งานทำการยืนยันตัวตนไปแล้ว หรือหลอกให้ผู้ใช้งานทำการยืนยันตัวตนให้ ตัวอย่างเช่น การทำ Social Engineering เพื่อหลอกให้ผู้ใช้งานบอกรหัสผ่าน OTP และการทำ Man-in-the-Middle ในระดับของ Traffic, Mobile, Computer หรือแม้แต่ในระดับของ Browser เพื่อดักเปลี่ยนการทำ Transaction ของผู้ใช้งานที่เกิดขึ้นหลังจากการยืนยันตัวตนแทน เป็นต้น

ด้วยเหตุนี้ ทำให้การยืนยันตัวตนด้วย Two-factor Authentication นั้นไม่เพียงพออีกต่อไป และ Datablink ก็ได้เข้ามาแก้ไขปัญหาเหล่านี้ด้วยแนวคิดแบบใหม่ๆ เพื่อตอบโจทย์ของลูกค้ากลุ่มสถาบันการเงินและองค์กรขนาดใหญ่โดยเฉพาะ

 

Datablink กับเทคโนโลยีการยืนยันตัวตนแบบ Multi-factor Authentication ที่ปลอดภัยยิ่งกว่า

เมื่อรูปแบบการโจมตีนั้นเปลี่ยนไปจากการขโมย Username และ Password ไปเป็นการทำ Social Engineering และการทำ Man-in-the-Middle แทนนนั้น Datablink จึงได้พัฒนาแนวคิด, ผลิตภัณฑ์ และโซลูชั่นสำหรับการทำธุรกรรมทางการเงินแบบออนไลน์อย่างปลอดภัยโดยเฉพาะเพื่อแก้ไขปัญหาต่างๆ เหล่านี้ และมีแนวทางในการรักษาความปลอดภัยในการทำธุรกรรมเหล่านี้ ด้วยการแก้ปัญหาหลักๆ 3 ประการ ดังนี้

datablink_diagram

1. ใช้เทคโนโลยี Multi-factor Authentication ทั้งกับการยืนยันตัวตน และการยืนยันการทำธุรกรรม

เทคโนโลยี Multi-factor Authentication ที่ถูกออกแบบมาโดยเฉพาะของ Datablink นี้ มีทั้งส่วนที่เป็น Client สำหรับให้ผู้ใช้งานสร้าง Response เพื่อโต้ตอบใน Challenge ที่เกิดขึ้นในการยืนยันตัวตนละการกำหนดสิทธิ์ได้ทันที ทำให้ถึงแม้ผู้โจมตีจะพยายามโจมตีหลังจากผ่านขั้นตอนการยืนยันตัวตนไปแล้ว ก็ยังจะต้องพบกับการยืนยันการทำ Transaction ในแต่ละครั้ง หรือที่เรียกว่า Transaction Signing นั่นเอง

นอกจากนี้การสร้าง Response นี้ยังมีการนำข้อมูลของ Transaction ที่เกิดขึ้นมาใช้ในการสร้าง และการเปิดอ่าน Response ที่ทำการเข้ารหัสอยู่นั้นก็ต้องทำจากหน้าจอที่มีการทำ Transaction นั้นๆ อยู่เท่านั้น ทำให้การหลอกลวงเพื่อทำ Social Engineering เกิดขึ้นได้ยากมาก

 

2. ผู้ใช้งานสามารถตรวจสอบข้อมูลการทำธุรกรรมได้จากระบบ Multi-factor Authentication เพื่อป้องกันการทำ Man-in-the-Middle ได้เสมอ

ไม่เพียงแต่อุปกรณ์ฝั่ง Client จะทำการสร้าง Response เพื่อให้โต้ตอบใน Challenge เท่านั้น สิ่งที่ทำให้ Datablink เหนือยิ่งกว่าระบบ Multi-factor Authentication ใดๆ ก็คือการที่ข้อมูลของการทำ Transaction ที่เกิดขึ้นนั้น จะถูกแสดงพร้อมๆ กับ Response เสมอ ทำให้ผู้ใช้งานสามารถตรวจสอบได้ทันทีว่า Response อันนี้มีไว้สำหรับยืนยันการทำธุรกรรมใด และถ้าหากข้อมูลการทำธุรกรรมถูกเปลี่ยนแปลงจากการโจมตีแบบ Man-in-the-Middle ก่อนที่จะถูกส่งไปยัง Server นั้น ผู้ใช้งานก็จะทราบได้ทันทีว่า Transaction นั้นๆ ถูกเปลี่ยนแปลงไปแล้ว จากข้อมูลต่างๆ ที่ถูกเข้ารหัสเอาไว้อย่างปลอดภัยที่ส่งมาจาก Server ถึง Client นั่นเอง

วิธีการนี้ไม่เพียงแต่ช่วยป้องกันการโจมตีแบบ Man-in-the-Middle เท่านั้น แต่ยังรวมถึงการป้องกันการทำ Social Engineering ที่ผู้โจมตีจะพยายามหลอกล่อให้เหยื่อทำการบอกรหัสของ Response ให้ ซึ่ง Datablink นี้จะช่วยส่งข้อมูลของ Transaction ที่ผู้ทำ Social Engineering พยายามจะทำมาให้ผู้ใช้งานได้รับทราบ และตัดสินใจได้ว่าควรจะบอกข้อมูลหรือไม่ได้อีกด้วย

 

3. มีทางเลือกสำหรับอุปกรณ์ในการทำ Multi-factor Authentication ให้เลือกใช้งานได้ตามความสะดวกและความปลอดภัยที่ต้องการ

Datablink มีทางเลือกสำหรับอุปกรณ์ในการทำ Multi-factor Authentication อย่างปลอดภัยนี้ด้วยกัน 4 ทางหลักๆ เพื่อให้เหมาะสมต่อรูปแบบของธุรกรรมต่างๆ ที่เกิดขึ้น, ความสะดวกสบายในการใช้งานและพกพา รวมถึงค่าใช้จ่ายที่แตกต่าง ดังนี้

 

Datablink Device 200

datablink_device_200

เป็นอุปกรณ์สำหรับทำ Multi-factor Authentication ด้วย Blink Protocol ที่เป็นการส่งสัญญาณกระพริบมาจากหน้าจอ และใช้ DataBlink Device 200 ในการอ่าน พร้อมทำการถอดรหัสข้อมูลที่อ่านได้เหล่านั้นออกมา เพื่อแสดงข้อมูล Response และ Transaction ที่เกิดขึ้นให้ผู้ใช้งานตัดสินใจว่าจะตอบ Response หรือไม่ได้ทันที ทำให้การยืนยันตัวตนและการทำ Transaction ใดๆ มีความปลอดภัยเพิ่มขึ้นเป็นอย่างมาก โดย DataBlink Device 200 นี้สามารถใช้งานได้ยาวนานถึง 5 ปีโดยไม่ต้องชาร์จไฟเพิ่มแต่อย่างใด

ทั้งนี้ Datablink Device 200 นี้ยังสามารถปรับแต่ง Logo ที่แสดงบนอุปกรณ์ให้กลายเป็นแบรนด์ขององค์กรต่างๆ ได้อย่างอิสระ ทำให้การนำไปใช้งานนั้นนอกจากจะเป็นการเสริมความปลอดภัยแล้ว ยังเป็นการสร้างภาพลักษณ์ที่ดีแก่องค์กรอีกด้วย

ตัวอย่างของการใช้งาน Datablink Device 200

 

Datablink Mobile 200

datablink_mobile_200

เป็น Mobile Application ที่รองรับทั้ง iOS และ Android สำหรับใช้ในการโต้ตอบ Response ที่ถูกส่งแบบ Push สำหรับใช้ในการยืนยันตัวตนและการทำธุรกรรมโดยเฉพาะ ทำให้ผู้ใช้งานสามารถใช้ Smartphone หรือ Tablet ที่มีอยู่เป็นหนึ่งใน Multi-factor Authentication ได้ทันทีอย่างสะดวกสบาย และไม่ต้องพกพา Hardware ใดๆ เพิ่มเติม

นอกจากนี้ Mobile Application เหล่านี้ยังรองรับการทำ White Labeling เพื่อเปลี่ยนแบรนด์ให้กลายเป็น Application ขององค์กรเองได้ รวมถึง Datablink เองยังมีบริการพัฒนาและดูแล Application ในการทำธุรกรรมสำหรับธนาคารต่างๆ ให้อีกด้วย ทำให้องค์กรต่างๆ สามารถเริ่มต้นให้บริการการทำธุรกรรมออนไลน์แบบปลอดภัยได้อย่างรวดเร็วที่สุด

ตัวอย่างของการใช้งาน Datablink Mobile 200

 

Datablink Mobile 100

เป็นระบบ One Time Password ผ่าน SMS ของโทรศัพท์มือถือ สำหรับการทำ Two-factor Authentication ทั่วๆ ไปแก่ผู้ใช้งานจำนวนมากเป็นหลัก

 

Datablink Card 100

เป็นบัตรแบบพิเศษสำหรับใช้ในการถอดรหัสของ Challenge / Response ที่ถูกส่งมา ซึ่งผู้ใช้งานสามารถพกพาได้ง่ายและไม่ต้องใช้อุปกรณ์อิเล็กทรอนิกส์ใดๆ เพิ่มเติมในการยืนยันตัวตนอย่างปลอดภัย

 

การใช้งานจริงภายในสถาบันการเงินชั้นนำ และองค์กรทุกขนาดทั่วโลก

ในปัจจุบันนี้ มีสถาบันการเงินชั้นนำและองค์กรทุกขนาดทั่วโลกกำลังใช้งาน DataBlink เพื่อเสริมความปลอดภัยในการทำธุรกรรม และลดความเสี่ยงในการถูกโจมตีและถูกขโมยเงินลงไป และมีตัวอย่างกรณีการใช้งานดังนี้

 

1. การรักษาความปลอดภัยในการทำธุรกรรมสำหรับลูกค้าของธนาคาร

ธนาคารแห่งหนึ่งมีการใช้งาน Datablink Device 200 จำนวนมากถึง 3 ล้านอุปกรณ์ เพื่อให้ลูกค้าของธนาคารทุกคนสามารถทำธุรกรรมออนไลน์ได้อย่างปลอดภัย ซึ่ง Datablink Device 200 แต่ละชุดนี้สามารถรองรับการทำธุรกรรมได้มากถึง 10 รูปแบบต่ออุปกรณ์ ครอบคลุมต่อรูปแบบการทำธุรกรรมของลูกค้าได้อย่างครบถ้วน

 

2. การรักษาความปลอดภัยในการทำธุรกรรมร่วมกับคู่ค้าขององค์กร

หลายๆ องค์กรที่มีการเปิดให้คู่ค้าสามารถเข้าถึงข้อมูลต่างๆ และทำ Transaction ได้ผ่าน Portal นั้น ก็นิยมใช้ Datablink เข้าไปเสริมความปลอดภัยให้แก่การยืนยันตัวตน และการทำ Transaction ได้อย่างปลอดภัยยิ่งขึ้น ทำให้สามารถลดความเสี่ยงที่องค์กรจะถูกโจมตีเข้ามาผ่านจากช่องทางเหล่านี้ อีกทั้งยังลดความเสี่ยงที่จะเกิดความสูญเสียจากการทำทุจริตหรือการขโมยเงินผ่านการทำ Transaction ได้อีกด้วย

 

3. การยืนยันตัวตนก่อนเข้าใช้งานระบบเครือข่ายอย่างปลอดภัย

Datablink สามารถทำการ Integrate เข้ากับระบบยืนยันตัวตนที่องค์กรนิยมใช้งานได้อย่างครบถ้วน ไม่ว่าจะเป็น Microsoft Active Directory หรือการทำ Network Authentication ร่วมกับ Firewall, SSL-VPN, Web Portal และอื่นๆ ทำให้การสร้างระบบการยืนยันตัวตนสำหรับองค์กรที่ปลอดภัยนั้น สามารถทำได้ด้วยเทคโนโลยี Multi-factor Authentication ของ Datablink นั่นเอง

 

Promotion สำหรับให้ทดลองใช้งาน Datablink ภายในองค์กรได้ทันที

เพื่อให้องค์กรต่างๆ ได้ทดลองใช้และเข้าใจถึงแนวคิดในการรักษาความปลอดภัยด้วยเทคโนโลยี Multi-factor Authentication ทาง Bangkok System Software ตัวแทนจำหน่ายของ Datablink จึงได้ทำการเตรียมอุปกรณ์ให้องค์กรต่างๆ ได้ทดสอบการใช้งานได้ในงาน CDIC Conference 2015 ซึ่งจะจัดขึ้นในวันที่ 28-29 ตุลาคมนี้ ณ บูธ S-03 รวมถึงออกโปรโมชั่นสำหรับให้องค์กรต่างๆ นำ Datablink ไปทดลองใช้ได้ฟรีๆ เป็นเวลา 1 ปี สำหรับใช้ในการยืนยันตัวตนเข้าระบบเครือข่ายด้วย OTP ผ่านโทรศัพท์มือถือ และการทดลองพัฒนา Software ให้ทำงานร่วมกับระบบของ Datablink ได้อย่างสมบูรณ์ ดังนี้

datablink_network_logon

  • 10x Datablink Mobile OTP Token
  • 10x Datablink Manager License
  • 10x Datablink Windows Network Log-on License
  • ทั้งหมดนี้มาพร้อมกับ Subscription 1 ปี รวมบริการติดตั้งและกำหนดค่าร่วมกับระบบอื่นๆ

 

ติดต่อ Bangkok System Software

bangkoksystem_logo

สำหรับองค์กรที่สนใจ Datablink หรือโซลูชั่นสำหรับรักษาความปลอดภัยในองค์กร สามารถติดต่อทีมงาน Bangkok System Software ได้ทันทีที่คุณคริส IT Security Solution Manager ที่โทร 085-552-2333 หรืออีเมล์ krisnawani@bangkoksystem.com ได้ทันที

 

ข้อมูลเพิ่มเติม


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Supermicro เปิดตัว Server รุ่นใหม่ รองรับ AMD EPYC 7002 Series พร้อมทำลายสถิติโลก 2 รายการ

Supermicro ได้ออกมาประกาศเปิดตัวทันทีหลังจากที่ AMD เปิดตัว EPYC Rome รุ่นล่าสุด ถึง Server รุ่นใหม่ในตระกูล H12 A+ สำหรับรองรับ AMD Epyc Rome 7002 Series โดยเฉพาะ โดยมีตัวเลขเชิงประสิทธิภาพที่สูงขึ้นกว่ารุ่นก่อนเป็นอย่างมาก ดังนี้

Red Hat ประกาศเข้าร่วม RISC-V Foundation แล้ว

Red Hat ได้ประกาศเข้าร่วมเป็นส่วนหนึ่งในโครงการ RISC-V Foundation เพื่อช่วยพัฒนาเทคโนโลยี Open Source Process Instruction Set Architecture (ISA)