Коллеги,
Анализ сети ШПД Ростелеком показал, что более 42% публично доступных RDP-сервисов уязвимы к BlueKeep/CVE-2019-0708.
Эксплойт публично доступен. Сканер данной уязвимости для Metasploit так же доступен. Предполагаем начало массовых атак в ближайшее время.
RT CERT призывает Вас своевременно обновлять свое ПО и отказываться от идеи размещения публично доступных RDP-сервисов.

Все мы помним Wanna Cry, Petya, Bad Rabbit и т.п.

#rdp #metasploit #CVE-2019-0708 #windows #BlueKeep #exploit

The last one I took from Tenable's “Predictive Prioritization: Data science lets you focus on the 3% of vulnerabilities likely to
be exploited”
https://www.tenable.com/whitepapers/predictive-prioritization-data-science-lets-you-focus-on-3-percent-of-vulnerabilities

Well, if using only CVSS for Vulnerability Prioritization is bad, maybe we can use it with Exploit databases? Actually, it's a good idea. Only 7% of vulnerabilities have a publically available exploit, so if a vulnerability has an exploit it worth to patch it. Of course, if the exploit actually exists and works well. Because sometimes "exploit" is just a PoC or a detection noscript, sometimes the type of vulnerability and the type of related exploit don't match (RCE and DoS for example), sometimes you just have to believe that exploit exists somewhere in a closed pack, but no one has seen or used it. So, if we have a good exploit data feed, such prioritization method will be quite useful.

But, this way will give maximum priority to vulnerabilities that are exploitable right NOW. And VM vendors promise us that their new Vulnerability Prioritization features will also get vulnerabilities that are not exploitable now, but are likely to be exploited in the near-term FUTURE! Which is interesting.

Новые положения Банка России: новые требования и новые вопросы https://t.co/kUeCQeYZ3B
— Alexey Lukatsky (@alukatsky) May 27, 2019

Посмотрите, о чем твитнул(а) @3dwave: https://twitter.com/3dwave/status/1132991383508267008?s=09

Минкомсвязь написала методичку по цифровым стратегиям для госкомпаний :: Технологии и медиа :: РБК
https://www.rbc.ru/technology_and_media/27/05/2019/5ce825f99a7947aaec2e09ae?from=center

NISTIR 8183A Vol. 1 (DRAFT), CSF Manufacturing Profile Low Security Level Guide: Vol 1 | CSRC
https://csrc.nist.gov/publications/detail/nistir/8183a/vol-1/draft

U.S. lawmakers call on spy chief to rein in spread of hacking tools - Reuters
https://www.reuters.com/article/us-usa-cyber-congress/u-s-lawmakers-call-on-spy-chief-to-rein-in-spread-of-hacking-tools-idUSKCN1SQ1ZK

NASA Official Credits DHS’ Cyber Tools with Transforming Its Cyber Stance - Nextgov
https://www.nextgov.com/cybersecurity/2019/05/nasa-official-credits-dhs-cyber-tools-transforming-its-cyber-stance/157204/

Mobile Application Single Sign-On | NCCoE
https://www.nccoe.nist.gov/projects/use-cases/mobile-sso

Ограничения по локализации в ЕС обработки данных вступили в силу с 28 мая 2019.

Перевод отчёта Fortinet

https://www.anti-malware.ru/analytics/Market_Analysis/security-in-industrial-networks-2019

Неоднозначное исследование

«Роскачество» назвало лучшие антивирусы :: Технологии и медиа :: РБК
https://www.rbc.ru/technology_and_media/31/05/2019/5cefc6e59a7947349fb2efaf?from=from_main

Исследование красного креста: Возможные людские потери при кибероперациях.

https://blogs.icrc.org/law-and-policy/2019/05/29/potential-human-costs-cyber-operations-key-icrc-takeaways-discussion-tech-experts/

Хорошая white paper на тему устойчивости шифрования к квантовым компьютерам.
Итоги:
1. Используйте где возможно симметричное шифрование с максимально возможной длиной ключа. Аналогично с хэш функциями.
2. Для новых долгосрочных проектов с ассимитричным шифрованием запланировать возможность замены алгоритма на квантовоустойчивый.
3. Если вас критично, что перехваченную сегодня информацию вскроют при появлении квантовых компьютеров необходимо применять гибридные схемы.
4. Стандарт квантово устойчивого шифрования от nist появится не раньше 2022-2024. Сейчас вторая стадия конкурса из 26 алгоритмов.