Non-Human Identities против вас: почему аккаунты-призраки и токены-зомби до сих пор живы
Программный комитет ещё не принял решения по этому докладу
Целевая аудитория
Тезисы
В современном проде 70–90 % всех операций выполняют не люди, а машины: сервисные аккаунты, CI/CD-раннеры, микросервисы, Lambda-функции, GitHub Actions, Terraform-провайдеры. Non-Human Identities (NHI) не проходят онбординг, не меняют пароли, не увольняются и живут в инфраструктуре годами с избыточными правами.
Именно проблемы с защитой и аутентификацией NHI — главные причины многих громких взломов за последние годы: Microsoft (2023), Cloudflare (2024), Okta (2023–2024), десятки утечек через GitHub Actions и токены в публичных Docker-образах.
В докладе разберём, почему даже зрелые DevSecOps-практики (SAST/DAST/SCA, signed containers, policy-as-code) перестают работать, если не встроен полный жизненный цикл NHI (нечеловеческих учетных записей): от безопасного bootstrap без «секрета нулевого дня» до автоматической ротации и отзыва.
Рассмотрим архитектурные пробелы и дыры в популярных решениях: от облачных провайдеров IAM с Workload Identity Federation до локальных хранилищ динамических секретов.
Участники получат чек-листы для разных этапов жизненного цикла NHI, которые помогут сделать даже нечеловеческие учетные записи безопасными по умолчанию и наконец-то закрыть самый большой незакрытый вектор атак в современной инфраструктуре.
Изучает, как принимать решения, которые решают первоначальную проблему и не создают новых.
Ментор Сколково, помогает стартапам в разработке стратегии, управлении киберрисками и выстраивании продаж сложных IТ-решений.
Работала архитектором в консалтинговых подразделениях международных компаний и на руководящих должностях, включая позиции CIO и CISO.
Видео
Другие доклады секции
Secure by design. Безопасность, DevSecOps
