М Про Системс
Open in Telegram
Автоматизируем управление персоналом По вопросам заказа услуг обращайтесь: mp@mpros.ru @MikhailProtasov mpros.ru
Show more492
Subscribers
No data24 hours
No data7 days
-430 days
Posts Archive
Завтра провожу вебинар "Cоздание опросов в websoft hcm"
Уровень: базовый
🗓 08 июля
🕑 11:00 мск
Ссылка
Сегодня провел эфир у ВебСофта с обзором способов автоматизации оценки персонала! Запись опубликую позже.
К эфиру я подготовил виртуальную доску с примерами. Может быть полезно если планируете автоматизировать оценку персонала!
По многочисленным просьбам записал небольшое видео (8 минут) про то, как загружать тесты знаний в WebSoft HCM с помощью ИИ!
Ссылка
Экспериментирую с созданием учебного контента с помощью ИИ!
Вот фрагмент для занятия по терминологии в области информационной безопасности.
Разберем сказку «Волк и семеро козлят» как кейс по взлому периметра с применением методов социальной инженерии и криптоанализом голоса.
Объект защиты: Дом-сервер козы (матери), внутренняя сеть («внутри — тепло, еда, безопасно»).
Злоумышленник: Волк (Black Hat, APT-группа «Серый хвост»).
Жертвы: Козлята (младший IT-отдел с нулевыми привилегиями).
## Нарушенные принципы ИБ
### 1. Аутентификация и идентификация (сбой многофакторности)
Коза ввела слабый фактор доступа — только голосовой пароль (что-то, что знаешь). При этом:
- Пароль передавался по открытому каналу («Детки, пароль: «тонким голосом петь песенку»).
- Волк перехватил трафик (сниффинг) и записал образец голоса (replay-атака).
Шутка: Коза использовала однофакторную аутентификацию в XXI веке — даже 2FA из «наклей на дверь глазок и спроси кто там» не включила.
### 2. Биометрическая защита (спуфинг)
Волк применил спуфинг биометрии — атака на датчик голоса. Он изменил свой тембр (атака «вживление синтезированного образца»), подделав акустический паттерн. Грубейший баг: система не проверяла живость (liveness detection) — например, не попросила высунуть язык или моргнуть. Козлята приняли синтезированный голос за легитимный.
### 3. Принцип минимальных привилегий (нарушен тотально)
Мать-коза выдала козлятам неограниченные права на открытие двери по одному лишь аудиозапросу. Это как дать джуниору доступ к
sudo rm -rf /. Правильный подход: козлята должны были только логировать событие и звонить маме по защищенному каналу.
### 4. Управление доступом на основе контекста (PBAC - Policy-Based Access Control)
Коза не настроила политики:
- Проверка по времени (волк пришел днем, хотя мама всегда вечером)
- Проверка по местоположению (голос из-за куста, а не от калитки)
- Свежесть сеанса (мама только что ушла, а тут новый запрос)
Козлята проигнорировали индикаторы компрометации (IoC) — волк хрипел и имел лапищи размером с пол-окна.
### 5. Защита конечных точек (Endpoint Security)
Дом (конечная точка) не имел:
- Физического контроля (глазок, засов);
- Сигнализации (крик «Волк!» — это уже IDS, но сработал поздно);
- Резервного копирования (спрятанный шкаф).
Когда волк вломился (эксплойт доверия), система не откатилась к снапшоту.
### 6. Принцип «доверяй, но проверяй» (Trust but Verify)
Козлята нарушили главное: они не выполнили верификацию по дополнительному каналу. Надо было:
- Позвонить маме по видеосвязи;
- Попросить высунуть в щель сертификат безопасности (например, показать белое брюхо — физический токен);
- Задать секретный вопрос («Как зовут нашу соседку курицу?»).
Вместо этого — нулевой Threat Intelligence.
## Итог: векторы атаки
- Социальная инженерия: Волк надавил на авторитет («мама вернулась»).
- Атака повторного воспроизведения (Replay): записал песенку и повторил.
- Подмена биометрии (Biometric Spoofing).
## Мораль в духе ИБ
> Если после смены пароля (песенки) ты громко поешь его всем в WhatsApp — не удивляйся, что злоумышленник его сниффит. А семь логов в одном SIEM не спасут, если у козлят уровень осведомленности — ниже плинтуса.
И да, хорошо, что у козы оказался резервный дата-центр в желудке волка (бэкап на пузе!) — иначе инцидент перешел бы в катастрофу с потерей семи узлов.В среду на следующей неделе провожу вебинар "Использование ИИ для создания отчетов в websoft c sql базой данных - часть 4"
Уровень: продвинутый
🗓 24 июня
🕑 11:00 мск
Ссылка
Получите бесплатную консультацию за отзыв!
В июне проведу три бесплатные консультации по Websoft HCM длительностью по одному часу за отзывы!
Условия:
▫️ Вы работаете в организации, у которой есть действующая лицензия Websoft HCM, либо планируется закупка лицензии в текущем году.
▫️ Вы ранее не получали от меня бесплатную консультацию.
▫️ Вы готовы записать короткий видео отзыв (до 1 минуты). В нем нужно представиться, сообщить в какой организации работаете и какая у вас должность. Рассказать, по какой теме консультировались и насколько это было полезно.
По итогам я могу на свое усмотрение разместить этот отзыв публично или нет.
Если вам интересно разобрать любые вопросы по Websoft HCM в таком формате, обращайтесь!
✉️ mp@mpros.ru
@MikhailProtasov
В среду на следующей неделе провожу вебинар "Использование ИИ для создания отчетов в websoft c sql базой данных - часть 3"
Уровень: продвинутый
🗓 10 июня
🕑 11:00 мск
Ссылка
В среду на следующей неделе провожу вебинар "Использование ИИ для создания отчетов в websoft c sql базой данных - часть 2"
Уровень: продвинутый
🗓 27 мая
🕑 11:00 мск
Ссылка
Публикую сегодняшнюю презентацию с конференции!
Про автоматизацию оценки компетенций в Астразенека.
В среду провожу вебинар "Использование ИИ для создания отчетов в websoft c sql базой данных"
Уровень: продвинутый
🗓 13 мая
🕑 11:00 мск
Ссылка
В среду провожу вебинар "Установка локально ms sql express и подключение WebSoft HCM к нему"
Уровень: продвинутый
Такой вебинар уже был, но на нем возникли баги. Сейчас баги исправлены, провожу повторно!
🗓 29 апреля
🕑 11:00 мск
Ссылка
Набираю группу на курс: Оценка персонала в WebSoft HCM!
Рассмотрим автоматизацию оценки компетенций, целей, индивидуальные планы развития. Стандартные настройки и доработки.
Для кого программа:
▫️ Руководители и сотрудники подразделений, отвечающих за организацию автоматизированной оценки персонала на базе WebSoft HCM
▫️ Программисты, отвечающие за доработки оценки персонала на базе WebSoft HCM
Программа будет состоять из двух модулей:
▫️ Автоматизация оценки персонала на базе стандартных компонентов (9 вебинаров)
▫️ Написание программного кода для доработки оценки (5 вебинаров)
Можно записаться только на один модуль или сразу на оба.
Более подробное описание прикладываю!
Старт 1 сентября!
Для записи пишите мне на email: mp@mpros.ru или в личку @MikhailProtasov
