Почему доступ в production для разработчиков - вредно. Опыт Zero Touch Production в Финтехе Яндекса.

Secure by design. Безопасность, DevSecOps

Непрерывное развертывание и деплой

Администрирование баз данных

Надёжность продакшена

Доверие команды внутри и снаружи

Инфраструктура

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

CTO, руководители разработки, руководители инфраструктуры

Тезисы

Процессы разработки и эксплуатации всё чаще становятся частью атак: злоумышленники используют их как точку входа или способ развития атаки. Угрозы могут поджидать нас на каждом этапе — от инцидентов, связанных с недобросовестными сотрудниками, до 0-day уязвимостей и supply chain атак. Из-за этого случаи, когда атакующие получают доступ к машинам разработчиков и инфраструктуре, происходят всё чаще.

В этом докладе мы разберём современный ландшафт таких угроз: откуда ждать злоумышленника и какими путями они обычно попадают внутрь компании. А также обсудим, как сократить поверхность атаки, уменьшить blast radius инцидента и заодно повысить надёжность наших систем.

Максим Прокопович

Яндекс

8 лет в ИБ. Из offensive security перешел в defensive. Глазами атакующего видел изнутри почти весь РФ бигтех и не только. В Яндексе руководит командой Security Engineering, защищающей Финтех сервисы.

Видео

Другие доклады секции

Secure by design. Безопасность, DevSecOps

Secure SDLC замес в 2026

Даниил Слюсарь

Positive Technologies

Бенчмаркинг eBPF агентов мониторинга безопасности

Андрей Федотов

Т-Банк

Smart Zero Trust in k8s

Александр Копылов

Независимый исследователь

Secure-by-design: сценарий реализации архитектуры безопасности для крупного бизнеса

Сергиенко Эдуард Анатольевич

ПАО Вымпелком

Безопасность веб-приложения во внешнем и внутреннем контуре

Александр Подгорный

МТС Web Services (MWS)

Строим пайплайн безопасной разработки без регистрации и SMS

Лев Николаев

Техническая академия Росатома

Проектируем архитектуру безопасной разработки для внедрения, а не в стол. Вокршоп в двух частях

Илья Шаров

MTS Web Services

Как мы строили self-service ASOC: реальная история с ошибками, переделками и выводами

Игорь Игнатьев

VK

Идеальная поставка контейнеров глазами Регулятора

Андрей Слепых

ООО «НТЦ Фобос-НТ»

Автоматизация концепции shift left в devsecops

Игорь Бирюков

InfEra Security

За гранью безопасности: как защитить секреты от дампа памяти

Киселёв Максим Николаевич

АО «Флант»

Посылаем секреты на три-четыре буквы: MPC, TSS, FSSS

Сергей Прилуцкий

MixBytes

Web API: поверхностное натяжение. Или почему безопасность API ломается именно там, где вы ее не видите

Михаил Черкашин

Innostage

"Животных в загон". Как мы приручаем зоопарк DevSecOps инструментов

Игорь Ильин

hh.ru

Non-Human Identities против вас: почему аккаунты-призраки и токены-зомби до сих пор живы

Анна Лучник

Независимый консультант

Как защитить раннеры и не сломать пайплайны в gitlab

Дмитрий Стеганцев

Wildberries & Russ

Воркшоп: Безопасная разработка своими руками

Лев Николаев

Техническая академия Росатома

Mos.Hub - Экосистема инструментов для полного цикла безопасной разработки и эксплуатации ПО

Илья Мочалов

Департамент Информационных технологий г. Москвы

Secrets Rotation at Scale: Zero Downtime, Zero Excuses

Neeraj Pandey

Lyntcube

Атаки на ИИ-агентов: старые уязвимости в новом контексте

Денис Макрушин

Яндекс

Чудеса Teleport-ации. Личная история нюансов эксплуатации Open-Source PAM

Лев Хакимов

MWS Cloud Platform

Как приручить доступы от портала заявок к автоматизации - строим быстрый и понятный self-service

Дарья Ильменская

Latech

Безопасный GitLab CI: риски, компромиссы и правила гигиены

Александр Лысенко

К2 Кибербезопасность