Start X — экосистема продуктов по безопасности, которые помогают сотрудникам распознавать и предотвращать цифровые атаки, а командам разработки быстрее выпускать защищенные продукты.
Заявка на проверку защищенности компании
Ответим на вопросы и согласуем детали. По итогам проверки вы получите отчет об уровне защищенности компании.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заявка на бесплатный пилот
Запустим пилотный проект за 5 рабочих дней.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заявка на расчет стоимости
Ответим на вопросы, уточним детали и рассчитаем стоимость доступа.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Человек — причина
68% инцидентов информационной безопасности в 2024 году
68% инцидентов информационной безопасности в 2024 году
Источник: 2024 Data Breach Investigations Report
Даже если взлом не происходит напрямую в результате опасного действия сотрудника, люди создают и поддерживают информационные системы. Уязвимости в коде или проблемы с конфигурациями тоже приводят к инцидентам.
Открыла письмо
Скачала
архив
Сообщила в SOC
о подозрительном письме
о подозрительном письме
Добавили в SIEM
индикатор атаки
индикатор атаки
Применили
индикаторы на средствах защиты
индикаторы на средствах защиты
Запустился
InfoStealer
InfoStealer
Утекли персональные данные,
компанию шантажируют
компанию шантажируют
Зафиксировал
версию библиотеки
версию библиотеки
Знает как работать
с внешними зависимостями
с внешними зависимостями
Узнал об уязвимости
и вовремя обновил версию
и вовремя обновил версию
Предотвратил
инцидент
инцидент
В версии обнаружили
уязвимость
уязвимость
Не обновил
до безопасной версии
до безопасной версии
Приложение взломали,
сервис перестал работать
сервис перестал работать
Алёна, менеджер
Артемий, разработчик
Продукты Start X для всех категорий сотрудников
Сотрудник, который работает безопасно – лучшая защита компании
Чем заняты ваши сотрудники, пока вы смотрите этот сайт?
Работа за компьютером
Недопустимые события
Какие действия сотрудника могут к этому привести?
Массовый вывод из строя и потеря данных на корпоративных устройствах
Удаление важных корпоративных данных с устройства пользователя
Перешел по фишинговый ссылке в письме
Открыл вложение в фишинговом сообщении
Подключил устройство к фишинговой Wi-Fi точке
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Распознал и не подключился к фишинговой Wi-Fi точке
Опубликовал документ с доступом по ссылке
Использовал корпоративные учетные данные в публичном сервисе
Сообщил о подозрительном письме в службу ИБ
Защита от угроз
Показал учетные данные сотрудников, которые могут быть скомпрометированы
Показал публичные документы с секретами в сервисах для совместной работы
Работа с корпоративными ИТ-системами и данными
Недопустимые события
Какие действия сотрудника могут к этому привести?
Кража, искажение или уничтожение корпоративных данных, к которым есть доступ у пользователя
Кража учетной записи пользователя с целью развития атаки на корпоративные системы и данные
Перешел по фишинговый ссылке в письме
Открыл вложение в фишинговом сообщении
Подключил поддельную USB-флешку
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Распознал и не подключил поддельную флешку
Опубликовал корпоративные данные на внешних облачных сервисах без согласования и не сделал корректного ограничения доступа
Сообщил о подозрительном письме в службу ИБ
Защита от угроз
Показал учетные данные сотрудников, которые могут быть скомпрометированы
Показал публичные документы с секретами в сервисах для совместной работы
Опубликовал документ с доступом по ссылке
Использовал корпоративные учетные данные в публичном сервисе
Привлечение подрядчиков
для оптимизации ФОТ
для оптимизации ФОТ
Недопустимые события
Какие действия подрядчика могут к этому привести?
Потеря или утечка корпоративных данных из-за компрометации корпоративной учетной записи, выданной подрядчику
Перешел по фишинговый ссылке в письме
Открыл вложение в фишинговом сообщении
Использовал поддельные документы
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Безопасно использовал пароли
Сообщил о подозрительном письме в службу ИБ
Автоматизация рабочих процессов с использованием ИТ-систем
Недопустимые события
Какие действия инженера DevOps могут к этому привести?
Остановка рабочих процессов из-за компрометации учетной записи администратора
Утечка большого количества персональных данных клиентов, оплата штрафов и судебные разбирательства
Перешел по фишинговый ссылке в письме
Открыл вложение в фишинговом сообщении
Небезопасно использовал пароли от ИТ-систем
Решение
Безопасные действия сотрудника
Распознал и не подключил фишинговое USB-устройство
Распознал и не подключился к фишинговой Wi-Fi точке
Кража, искажение или удаление важных корпоративных данных из-за ошибок в контроле внешнего периметра компании
Забыл закрыть доступ к ИТ-системам после тестирования
Опубликовал без согласования сервис на внешнем периметре
Сообщил о получении фишинга в службу ИБ
Защита от угроз
Видит внешнюю поверхность атаки и угрозы на ней
Знает, кто из сотрудников отвечает за конкретные активы
Своевременно исправляет критичные проблемы, контролирует статус и сроки их исправления
Не хранит пароли в открытом виде
Не использует персональные данные клиентов на тестовых стендах и не публикует тестовые среды на периметре, а держит их внутри за VPN
Проведение платежей
Недопустимые события
Какие действия бухгалтера могут к этому привести?
Остановка платежей с нарушением обязательств по оплате из-за компрометации учетной записи бухгалтера
Перешел по фишинговый ссылке в письме
Открыл вложение в фишинговом сообщении
Небезопасно использовал пароли от ИТ-систем
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Безопасно использовал пароли
Сообщил о подозрительном письме в службу ИБ
Оплата значительных сумм товаров и услуг по поддельным счетам
Автоматизация технологических процессов на производстве
Недопустимые события
Какие действия инженера могут к этому привести?
Кража продукции из-за изменений параметров учета после взлома устройств АСУ ТП из-за небезопасных действий инженера
Подключил фишинговую USB-флешку или модем
Подключил устройство к фишинговой Wi-Fi точке
Перешел по фишинговой ссылке в сообщении
Решение
Безопасные действия сотрудника
Распознал и не подключил фишинговое USB-устройство
Распознал и не подключился к фишинговой Wi-Fi точке
Сообщил о подозрительном письме в службу ИБ
Остановка, несанкционированое изменение параметров или сбой технологического процесса из-за небезопасный действий инженера
Разработка приложений
Недопустимые события
Какие действия сотрудника могут к этому привести?
Остановка или сбой работы корпоративных приложений собственной разработки из-за атаки на уязвимости
Срыв дедлайна по выпуску важного релиза из-за наличия уязвимости с последствиями для бизнеса
Пишет код с уязвимостями и не умеет исправлять их с первого раза
Пишет код без учета требований по безопасности к приложению
Не уделяет внимание вопросам безопасности и не видит в этом ценности для себя
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Сообщил о подозрительном письме в службу ИБ
Отказ заказчика от приемки кода из-за несоблюдения требований безопасности
Перешел по фишинговый ссылке на ресурс разработки в письме и ввел данные своей учетки
Защита от угроз
Понимает ценность кода без уязвимостей и уделяет внимание безопасности
Знает как выполнить требования по безопасности
Умеет писать безопасный код: выявлять и исправлять уязвимости
Вовремя продляет или разделегирует все созданные домены, промо-сайты и хостинг
Потеря доступа к исходным кодам компании из-за компрометации учетной записи инженера DevOps
Открыл вложение в фишинговом сообщении
Знает, что качественный код — безопасный код
Знает, за какие активы несет ответственность
Знает и умеет писать код без уязвимостей
Знает и понимает какие требования по безопасности надо выполнить в проекте
Знает, как безопасно работать с публичными сервисами
Поддержка инфраструктуры приложений
Поддержка инфраструктуры приложений
Какие действия инженера DevOps могут к этому привести?
Остановка или сбой работы корпоративных приложений собственной разработки из-за атаки на уязвимости
Срыв дедлайна по выпуску важного релиза из-за наличия уязвимости с последствиями для бизнеса
Не контролирует безопасность библиотек
Небезопасно управляет секретами приложения
Развертывает приложения без учета требований по безопасности к приложению
Решение
Безопасные действия сотрудника
Распознал фишинговое письмо: не открыл вложений и ссылок
Сообщил о подозрительном письме в службу ИБ
Отказ заказчика от приемки кода из-за несоблюдения требований безопасности
Не уделяет внимание вопросам безопасности и не видит в этом ценности для себя
Открыл вложение в фишинговом сообщении
Защита от угроз
Понимает ценность кода без уязвимостей и уделяет внимание безопасности
Знает как выполнить требования по безопасности
Умеет писать безопасный код: выявлять и исправлять уязвимости
Умеет правильно работать с секретами: создавать, ротировать, инвалидировать
Потеря доступа к исходным кодам компании из-за компрометации учетной записи инженера DevOps
Перешел по фишинговой ссылке на ресурс разработки в письме и ввел данные своей учетки
Знает, что качественный код — безопасный код
Видит внешнюю поверхность атаки и угрозы на ней
Знает и умеет писать код без уязвимостей
Знает и понимает какие требования по безопасности надо выполнить в проекте
Оцените уровень
защищенности вашей
компании
За 4 недели проверьте своих сотрудников и узнайте уровень риска для компании
Снижается уровень риска инцидента для компании
Доля открытых писем
сокращается процент открытий фишинговых писем
сократится переход на фишинговый сайт
Как продукты Start X повышают защищенность компании
Повышается вовлеченность сотрудников в информационной безопасности
Доля сообщений о фишинговых письмах
Ускоряется на 10–17% внедрение новых систем или миграция на отечественные решения
При использовании
продуктов Start X: cистемы внедрены, интеграция успешно проведена
продуктов Start X: cистемы внедрены, интеграция успешно проведена
При игнорировании безопасности в разработке: исправляют замечания по результатам приемки по требованиям безопасности
Повышается осознанность — сотрудники не отправляют рабочие документы на личную почту.
Улучшается культура ИБ
в компании — люди чаще сообщают о подозрительных ситуациях
Улучшается культура ИБ
в компании — люди чаще сообщают о подозрительных ситуациях
Оцените уровень
защищенности вашей
компании
За 4 недели проверьте своих сотрудников и узнайте уровень риска для компании
Приказ ФСТЭК России №239, №17, №31
Указ Президента №250
№187-ФЗ, №152-ФЗ, №98-ФЗ
№187-ФЗ, №152-ФЗ, №98-ФЗ
ГОСТ 57580.1, ГОСТ Р ИСО/
МЭК 27002-2012,
ГОСТ Р 56939-2016
МЭК 27002-2012,
ГОСТ Р 56939-2016
Положение № 382-П,
№ 719-П
№ 719-П
Payment Card Industry Data Security Standard
Android: OWASP Mobile ASVS + Testing guide
iOS: OWASP Mobile ASVS + Testing guide
Web: OWASP Web Testin Guide, Payment Card Industry
ISO/IEC 27001:2013
ИСО/МЭК 27001:2022
ИСО/МЭК 27001:2022
Выполняются требования регуляторов, стандартов и лучших практик по осведомленности сотрудников и разработке безопасного ПО
Статьи и новости в блоге
Рассказываем об информационной безопасности с точки зрения человеческого фактора
Подпишитесь на дайджест Start X
Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений