За гранью безопасности: как защитить секреты от дампа памяти

Secure by design. Безопасность, DevSecOps

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Доклад будет интересен тем, кто использует системы централизованного хранения и управления секретами, такие как HashiСorp Vault или его форки: инженерам DevOps, специалистам ИБ, архитекторам.

Тезисы

Решения на основе HashiCorp Vault прочно заняли свою нишу на рынке ИТ. Большое количество компаний и отдельных проектов используют их как систему для централизованного хранения инфраструктурных секретов или как систему PKI. В Vault архитектурно заложена невозможность повлиять на состояние прав доступа в хранилище в обход его политик безопасности, а значит, извлечь данные в обход политик тоже невозможно. Но что, если злоумышленник вооружится такими инструментами, как strace, gcore, gdb, или вообще сделает снапшот виртуальной машины? Устоит ли защита?
В докладе мы разберём потенциальные проблемы утечки данных, если злоумышленник уже получил административные права в ОС, где запущена система хранения секретов, или получил доступ к системе виртуализации, а также поговорим о способах защиты данных в такой ситуации.

Киселёв Максим Николаевич

АО «Флант»

Руководитель разработки Deckhouse Stronghold во «Фланте». 25 лет в ИТ, из них 5 лет — в DevOps. Имеет богатый опыт эксплуатации Kubernetes и внедрения хранилищ секретов для компаний из различных отраслей.

Видео

Другие доклады секции

Secure by design. Безопасность, DevSecOps

Smart Zero Trust in k8s

Александр Копылов

Независимый исследователь

Воркшоп: Безопасная разработка своими руками

Лев Николаев

Техническая академия Росатома

Идеальная поставка контейнеров глазами Регулятора

Андрей Слепых

ООО «НТЦ Фобос-НТ»

Автоматизация концепции shift left в devsecops

Игорь Бирюков

InfEra Security

Как приручить доступы от портала заявок к автоматизации - строим быстрый и понятный self-service

Дарья Ильменская

Latech

Строим пайплайн безопасной разработки без регистрации и SMS

Лев Николаев

Техническая академия Росатома

Mos.Hub - Экосистема инструментов для полного цикла безопасной разработки и эксплуатации ПО

Илья Мочалов

Департамент Информационных технологий г. Москвы

Secure SDLC замес в 2026

Даниил Слюсарь

Positive Technologies

Безопасность веб-приложения во внешнем и внутреннем контуре

Александр Подгорный

МТС Web Services (MWS)

Non-Human Identities против вас: почему аккаунты-призраки и токены-зомби до сих пор живы

Анна Лучник

Независимый консультант

Чудеса Teleport-ации. Личная история нюансов эксплуатации Open-Source PAM

Лев Хакимов

MWS Cloud Platform

Посылаем секреты на три-четыре буквы: MPC, TSS, FSSS

Сергей Прилуцкий

MixBytes

Атаки на ИИ-агентов: старые уязвимости в новом контексте

Денис Макрушин

Яндекс

Бенчмаркинг eBPF агентов мониторинга безопасности

Андрей Федотов

Т-Банк

Один за всех и все за одного: зачем и для кого мы строим в Ozon институт бизнес-партнёров по информационной безопасности

Глеб Поварницын

Озон

Как защитить раннеры и не сломать пайплайны в gitlab

Дмитрий Стеганцев

Wildberries & Russ

Web API: поверхностное натяжение. Или почему безопасность API ломается именно там, где вы ее не видите

Михаил Черкашин

Innostage

Безопасный GitLab CI: риски, компромиссы и правила гигиены

Александр Лысенко

К2 Кибербезопасность

Secure-by-design: сценарий реализации архитектуры безопасности для крупного бизнеса

Сергиенко Эдуард Анатольевич

ПАО Вымпелком