Start X (ex-Антифишинг)

СЕО Start X Сергей Волдохин поучаствовал в бизнес-завтраке с резидентами, амбассадорами и экспертами Кибердома. Обсудили, как выстраивать безопасность приложений не ради галочки, а чтобы работало. Благодаря нашей методологии по безопасной разработке разговор быстро перешел от общих рассуждений к конкретным шагам. Делимся главными выводами ⬇️ ❄ Разработчики часто «не слышат» безопасников, потому что с ними просто никто нормально не разговаривает. Дело не в нежелании, а в том, что обращения для тех.поддержки без контекста и баги без объяснений — не способ наводить порядок. ❄ Одни компании латают уязвимости и ошибки в коде, другие меняют архитектуру — значит, у вторых настоящие appsec-инженеры, не просто сканер и галочка в процессе. ❄ AI пока не спасает от всего. Без эксперта нейросеть либо даст ложное срабатывание, либо утонет в отчётах и поверхностных рекомендациях. Но её уже можно встраивать во вспомогательные процессы — подсказки, поиск проблем и обучение. ❄ Ошибки в коде повторяются, потому что никто не копает в корень. Работа с архитектурой и обучение команды важнее любой автоматизации. ❄ Безопасность приложения начинается ещё на этапе идеи. Если не задать правильные вопросы сразу, потом будет поздно, неприятно и дорого. ❄ Информационная безопасность всегда про командную игру. Appsec без связи с разработкой, продуктом, QA и архитектурой не имеет смысла. Безопасные приложения — это не результат покупного анализа кода (SAST) или новых фреймворков. Это люди, процессы и культура в команде и в голове каждого.

Отправил резюме — потерял друзей Найти интересную работу с хорошей зарплатой хотят многие. И это желание активно используют мошенники. Причём обманывают они не только соискателя, но и его друзей. Свежий выпуск карточек объясняет, как фальшивые эйчары уводят аккаунты соискателей и крадут деньги их знакомых. #startx_cards#разбор_атаки

Обзор новостей информационной безопасности с 18 по 24 апреля ⚠️Киберкампании: — взлом аккаунтов на «Госуслугах» с помощью фейкового бота «Почты России»; — как грабят людей, которые ищут жильё в аренду; — фишинговые письма с вложенными SVG помогают украсть аккаунты Google и Microsoft. 😂Инциденты: — утечка конфиденциальной информации клиентов южнокорейского оператора мобильной связи; — утечка медицинских данных 4,7 млн клиентов страховой компании Blue Shield of California. #фишинг#дайджест

Обзор новостей информационной безопасности с 11 по 17 апреля ⚠️Киберкампании: — «прямые подрядчики финсектора» выманивают у россиян деньги и персональные данные; — фишинговая атака Cloud Atlas против российской оборонки; — мошенники убеждают россиян установить дома сим-бокс — мини-АТС с множеством SIM-карт для массовых обзвонов; — налоговые вычеты как тема для фишинга; — сервис GetShared используется в фишинговых атаках; — фишинговые копии популярных интернет-магазинов заманивают жертв большими скидками. 😂Инциденты: — вымогатели атаковали оператора магазинов IKEA в Греции, на Кипре, в Румынии и Болгарии; — зашифрованная инфраструктура нарушила работу компании Sensata Technologies; — похищены конфиденциальные данные 1,6 млн клиентов Laboratory Services Cooperative (LSC); — киберинцидент с шифровальщиком-вымогателем нарушил работу компании DaVita; — утечка данных Национального агентства социального страхования Марокко (CNSS). #фишинг#дайджест

Обзор новостей информационной безопасности с 4 по 10 апреля ⚠️Киберкампании: — вредонос Gootloader атакует юристов с помощью Google Ads; — новый сценарий мошенничества с арендой жилья на российских курортах; — атака пользователей криптокошельков через сервисы рассылок; — отели взламывают с помощью фальшивых писем от Booking; — фальшивую таможенную пошлину просят перечислить на карту. 😂Инциденты: — мэрия Балтимора перевела мошеннику 1,5 млн долларов США в результате BEC-атаки; — хакеры нарушили работу сайта Роскомнадзора; — утечка 150 тысяч почтовых сообщений Управления контролёра денежного обращения США; — хакеры взломали Национальный фонд социального обеспечения Марокко. #фишинг#дайджест

Продолжаем говорить об опыте, вызовах и решениях, которые помогают выстраивать эффективную коммуникацию между ИБ, ИТ и бизнесом 🤝🏻 Если вам интересна тема безопасной разработки — ждем в зале Wood Hall!

Если вы на CISO Forum, то самое время присоединиться к нам в зале Wood Hall! Начинаем круглый стол прямо сейчас 🔥

Сергей Волдохин открывает дискуссию о роли CISO в ИБ на CISO Forum 2025!