Шорт-лист
Организация:

Start Х

Номинация:

Информационная безопасность

https://startx.team/

Start Х

Шорт-лист
Организация:

Start Х

Номинация:

Информационная безопасность

https://startx.team/

Российская исследовательская компания и разработчик программного обеспечения ООО «Антифишинг» работает с 2016 года и специализируется на решении проблем человеческого фактора в информационной безопасности.Разрабатывает экосистему продуктов Start X, которая помогает сотрудникам распознавать и предотвращать цифровые атаки, а командам разработки быстрее выпускать защищенное ПО. Продукты экосистемы используются в российских и иностранных предприятиях и организациях из различных отраслей.Продукты экосистемы уже используются в Райффайзенбанк, QIWI, Банк Санкт-Петербург, МВидео-Эльдорадо, Промомед, Объединенная Зерновая Компания и других компаниях в России и СНГ.

Вклад организации в развитие Рунета / цифровой экономики

Продукты Start X решают проблему человеческого фактора в информационной безопасности. Они снижают риски инцидентов через атаки на сотрудников, а также учат писать код с нуля без уязвимостей и управлять требованиями ИБ к ПО. Эксперты Start X выступают на профильных конференциях: Антифирод (Москва), Код ИБ ПРОФИ (Москва, Сочи), SOC-Forum, Knowledge Conf, TeamLead Conf, PHDays, BIS Summit, DevOpsConf, конференции Тинькофф Журнал и других, а также принимают участие в качестве приглашенных экспертов на закрытых мероприятиях для руководителей таких компаний, как ЛУКОЙЛ, Национальный Расчетный Депозитарий Московской Биржи, ERIELL и других.Start X развивает собственную методологию обучения и тренировки навыков и свою классификацию цифровых атак на сотрудников, а также проводит психологические исследования в области безопасности и поставляет клиентам аналитику Social Engineering TI.На PHDays 12 компания представила концепцию для управления защищенностью организации от угроз человеческого фактора — People as Code. В подходе People as Code человек становится управляемым оцифрованным активом, с которым специалисты команд безопасности могут работать также эффективно, как с другими цифровыми активами.Подробнее о подходе:Выступление Сергея Волдохина на PHDays «People as code: сотрудник как актив и объект защиты»: https://www.youtube.com/watch?v=gPqRIWR1hzwСтатья «People as Code: как мы применили подход Everything as Code к людям, чтобы устранить причину 82% инцидентов безопасности»: https://habr.com/ru/companies/StartX/articles/766426/База данных управления конфигурациями сотрудников на github: https://github.com/PeopleCMDB**People CMDB — база данных управления конфигурациями сотрудников — репозиторий, который содержит информацию о ролях, свойствах сотрудников (знания, навыки, мотивация, убеждения), их уровнях защищенности и других параметрах согласно методологии ООО Антифишинг.People CMDB также описывает ключевые цели бизнеса, недопустимые события, возможные сценарии их наступления, а также действия сотрудников, которые могут к ним привести и которые требуются, чтобы избежать инцидентов и обеспечить максимальную защищенность и киберустойчивость бизнеса.C 2017 года Start X выпускает открытый еженедельный дайджест https://blog.startx.team/ с аналитикой по всем видам цифровых атак на людей. Пример дайджеста: https://blog.startx.team/all/digest-343/Финалист Премии Рунета 2020 в номинации «Укрепление цифрового иммунитета Рунета» (https://startx.team/tpost/r66v07x151-stali-finalistami-premii-runeta-2020?ysclid=lpi72ymef3118215420)Входит в топ-45 российских EdTech компаний (https://trends.rbc.ru/trends/education/5fa1cc249a794739b65c7b5c)Продукты состоят в реестре Минцифры (https://reestr.digital.gov.ru/request/204282/?sphrase_id=2187545)Компания является лицензиатом ФСТЭК (https://reestr.fstec.ru/index.php/regview2?guid=d07b9807-3a1c-45e1-9ea5-f459db8b4bf3)

Взаимодействие с органами власти / GR-достижения организации

С 2016 года компания участвует в информационном обмене с ФинЦЕРТ Банка России и является лицензиатом ФСТЭК. Продукты Start X входят реестр российского ПО Минцифры.Выступаем на мероприятиях от ФСТЭК. Благодарственное письмо: https://drive.google.com/file/d/15h9GbZ8LOWb4Jg0xU0SfK2-4uE3beMaf/view?usp=drive_link

Технологии и решения

Экосистема продуктов Start X помогает сотрудникам распознавать и предотвращать цифровые атаки, а командам разработки быстрее выпускать защищенное ПО. Start EDU — платформа, которая помогает командам разработки научиться писать код без уязвимостей. Учебные модули подбираются автоматически на основе знаний разработчиков и характеристик продукта, над которым они работают.Start REQ — продукт, который управляет требованиями по безопасности ПО. Система выстраивает процесс непрерывной безопасной разработки продуктов и налаживает работу подразделений безопасности и продуктовых команд.Start AWR — платформа по обучению навыкам безопасного поведения. Сотрудники учатся распознавать и предотвращать цифровые атаки, сохранять бюджет и имидж компании. Start CTF — тренажер по практической безопасности для продуктовых команд. С его помощью можно познакомить команды с темой безопасной разработки и вовлечь их в процессы DevSecOps.

Общественный вклад

Start X, вместе с Финтех Хабом, Университетом «Сириус» и «Ростелеком-Солар», проводит программу (https://startx.team/tpost/dk1mx6co21-programma-finansovaya-kiberbezopasnost) «Финансовая кибербезопасность», где студенты университета знакомятся со сценариями атак на предприятия и учатся их отражать.Программа направлена на практико-ориентированное изучение основ обеспечения кибербезопасности в кредитно-финансовой сфере на примере сценариев, реализованных на Киберполигоне ПАО “Ростелеком”.Также компания участвует в конференциях Национальной ассоциации участников микрофинансового рынка и рассказывает, как развивать культуру информационной безопасности в компаниях. Выступление: https://facecast.net/w/neumql?key=z2a83dxpБлагодарственное письмо:https://drive.google.com/file/d/1Qwytn13AnLqM-_7g5dZpLW8nF3jgq3zP/view?usp=sharingStart X поддерживает не только B2B, но и B2C-направление, а также пропагандирует цифровую безопасность как важный элемент развития общества, например, выступая на профильных конференциях: Конференция ТЖ-Журнала «Деньги 2023» — «Почему умные люди ведутся на глупые разводы. Как защитить себя и близких»: https://www.youtube.com/watch?v=E66qzlNCl5k&t=1181s

PR и ключевые СМИ об организациях

С 2018 года публикуются аналитические статьи по теме безопасного поведения сотрудников, обучения и тренировки навыков.РИА Новости — В России создали решение для выявления уязвимостей в ПО на этапе разработки (https://ria.ru/20230629/uyazvimost-1881026586.html)Forbes — Почему импортозамещение делает IT-рынок уязвимее и как с этим справиться (https://www.forbes.ru/tekhnologii/499474-pocemu-importozamesenie-delaet-it-rynok-uazvimee-i-kak-s-etim-spravit-sa)Tadviser — Российская компания «‎Антифишинг» представила Start REQ – систему для управления требованиями по безопасности (https://www.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:Start_REQ_-_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%B4%D0%BB%D1%8F_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F_%D1%82%D1%80%D0%B5%D0%B1%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F%D0%BC%D0%B8_%D0%BF%D0%BE_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8)Cnews — Золотодобывающая компания «Полюс» внедрила Start AWR, чтобы предупредить кибератаки на сотрудников (https://safe.cnews.ru/news/line/2023-11-08_zolotodobyvayushchaya_kompaniya)Cnews — В России появилась платформа по обучению навыкам безопасного кода (https://www.cnews.ru/news/line/2023-09-12_v_rossii_poyavilas_platforma)Cisoclub — Start EDU: как научить 6 тысяч разработчиков писать безопасный код (https://cisoclub.ru/start-edu-kak-nauchit-6-tysjach-razrabotchikov-pisat-bezopasnyj-kod/)SecurityLab — Shift-Left Security: как сделать разработку безопасной и эффективной? (https://www.securitylab.ru/analytics/540869.php)СyberMedia — Как повысить эффективность средств защиты через знания и навыки людей и усилить защищенность организации в сотни раз (https://securitymedia.org/info/kak-povysit-effektivnost-sredstv-zashchity-cherez-znaniya-i-navyki-lyudey-i-usilit-zashchishchennost.html)Cisoclub — Как вовлечь сотрудников в вопросы информационной безопасности и почему это важно? (https://cisoclub.ru/kak-vovlech-sotrudnikov-v-voprosy-informacionnoj-bezopasnosti-i-pochemu-jeto-vazhno/)Bis Journal — Отделка щенка под капитана. Организационное и документационное сопровождение процессов обучения и тренировки навыков ИБ (https://ib-bank.ru/bisjournal/post/1471?ysclid=le5b21r7dy13964322)Bis Journal — С кем мы имеем дело? Формирование групп риска сотрудников как инструмент для ИБ-специалистов (https://ib-bank.ru/bisjournal/post/1416?ysclid=le4sz6wncq433228317)Bis Journal — Многоликий фишинг. Когда технические средства защиты не помогают (https://ib-bank.ru/bisjournal/post/1280%20?ysclid=le4cgl48k8924085599)Bis Journal — Психология цифровых атак: почему кибератаки против людей так эффективны (https://ib-bank.ru/bisjournal/post/1512?ysclid=le4b7nl3mc773349434)

Сайты, мобильные решения, интернет-проекты организации

https://challenge.secchamp.ru/Start X составил тест из 20 кейсов, где из-за ошибок разработчиков были взломаны известные приложения. Кейсы отличаются по сложности и проверяют навыки безопасной разработки: предотвращение RCE, CRLF, вывод информации в браузер (XSS), работу с SQL и другие темы. Тест позволяет выявить навыки разработчиков и составить карту компетенций как для отдельного члена, так и для всей продуктовой команды. Это поможет выявить сильные и слабые стороны разработчиков уже сейчас.