新的指南擴充了該框架，納入關鍵基礎設施以外的組織；還包含應對治理和供應鏈網路安全

Key Points:

• NIST 的網路安全框架 (CSF) 現在明確旨在幫助所有組織（而不僅僅是關鍵基礎設施中的組織，即其最初的目標受眾）管理和降低風險。
• NIST 更新了 CSF 的核心指南，並建立了一套資源來幫助所有組織實現其網路安全目標，並更加重視治理和供應鏈。
• 此次更新是多年討論和公眾意見過程的結果，旨在使該框架更加有效。

經過幾年的審議，美國國家標準與技術研究所 (NIST) 發布了網路安全框架 2.0 (Cybersecurity Framework 2.0—CSF 2.0)。新框架建立在其長期存在以降低網路風險的建議基礎上，除了最初關注關鍵基礎設施之外，還納入了其他組織關注的問題。

NIST 在 2014 年根據美國總統行政命令發布了第一個 CSF，以幫助組織（特別是關鍵基礎設施）降低網路安全風險。CSF 2.0 基於現有的五個基本功能識別（Identify）、防護（Protect）、偵測（Detect）、回應（Response）與復原（Recover）的構建，並已更新包括第六個功能：治理(Governance)。這些功能提供了管理網路安全風險的生命週期的全視圖，同時NIST 的 CSF 2.0 也解決了供應鏈風險。

NIST 應用網路安全部門負責人 Kevin Stine 在聲明中表示：“此次更新是透過與利益相關者密切合作開發的，反映了最新的網路安全挑戰和管理實踐，旨在使該框架與美國和國外更廣泛的用戶更加相關。” 

CSF 2.0 由六大功能組成：治理、識別、保護、偵測、回應 和復原。 此外該框架還包括以下內容：

CSF Core —高階網路安全成果的分類，可以幫助任何組織管理其網路安全風險。這可以在 CSF 2.0 的附錄 A 中找到（並且可以透過 CSF 2.0 參考工具瀏覽核心）。

CSF 組織概況— 一種根據 CSF 核心結果描述組織當前和/或目標網路安全態勢的機制。

CSF 層級— 一種可應用於 CSF 組織概況的方法，用於表徵組織網路安全風險管理實務的嚴格性。 

CSF在國際上已廣泛應用；1.1 和 1.0 版本已翻譯成 13 種語言，NIST 預計 CSF 2.0 也將由世界各地的志工翻譯。這些翻譯將被添加到 NIST 不斷擴大的 CSF 資源組合中。在過去 11 年中，NIST 與國際標準化組織 (ISO) 以及國際電工委員會 (IEC) 的合作協助協調了多個網路安全文件。ISO/IEC 資源現在允許組織使用 CSF 功能建立網路安全框架並組織控制。NIST 計劃繼續與 ISO/IEC 合作，以繼續這種國際協調

了解更多關於CSF 2.0以及其他補充資源:

CSF 2.0

瀏覽 NIST 的 CSF 2.0 快速入門指南

CSF 2.0 設定文件

CSF 2.0資訊參考

美國網際安全暨基礎設施安全局 (CISA) 週四(2/15)在已知遭濫用之漏洞清單 ( KEV )中新增了一個思科現已修補的安全漏洞，有報告指出Akira 勒索軟體利用思科自適應安全設備（Cisco Adaptive Security Appliance，ASA）和思科威脅防禦系統（Cisco Firepower Threat Defense，FTD）中先前修補的安全漏洞。該漏洞被稱為CVE-2020-3259（CVSS 評分：7.5），這是一個高嚴重性的資訊外洩漏洞，攻擊者無需經過授權，便可通過利用該漏洞檢索受影響設備上的記憶體內容，進行類似如下所示的惡意攻擊：

遠端獲取連接到思科VPN用戶的當前Session ID，影響用戶的正常使用；

利用獲取到的用戶當前Session ID，登錄思科VPN客戶端，從而滲透到公司的內部網路；

遠端獲取思科ASA內存中的其他機密資訊，如電子郵件地址、憑證等。

作為 2020 年 5 月發布的更新的一部分，思科對其進行了修補。但由於最近被發現Akira 勒索軟體在攻擊中使用，故已被添加到 CISA 的已知遭濫用之漏洞清單 ( KEV )中。上個月末，網路安全公司 Truesec 表示，它發現的證據表明，在過去的一年裡，Akira 勒索軟體攻擊者已將其武器化，以危害多個易受攻擊的 Cisco Anyconnect SSL VPN 設備。Truesec執行的八個最新事件回應任務進行的分析（其中部署了Akira 勒索軟體，並且被確認Cisco Anyconnect SSL VPN為入口點）顯示，至少有六台受感染的設備正在運行不同版本的易受攻擊的設備。

據 Palo Alto Networks Unit 42 稱，Akira 是 2023 年新設立勒索軟體的 25 個組織之一，於3 月首次被發現。Akira公開聲稱有近 200 名受害者，據信Akria與臭名昭著的Conti之間存在聯繫，因為Akira被發現將贖金收益發送至 Conti錢包地址。僅在 2023 年第四季度，Akira就在其暗網網站上列出了 49 名受害者，排在LockBit（275 名）、Play（110 名）、ALPHV/BlackCat（102 名）、 NoEscape（76 名）、8Base（75 名）之後。）和BlackBasta（72）。CISA要求聯邦民事行政部門 (FCEB) 機構必須在 2024 年 3 月 7 日之前修復已發現的Cisco ASA/FTD 中存在的漏洞CVE-2020-3259，以確保其網路免受潛在威脅。

CVE-2020-3259 遠非唯一被利用來傳播勒索軟體的漏洞，本月早些時候，Arctic Wolf Labs披露了濫用CVE-2023-22527（Atlassian Confluence 資料中心和 Confluence 伺服器最近發現的漏洞）來部署 C3RB3R 勒索軟體以及加密貨幣挖礦程式和遠端存取木馬的情況。

根據AnyDesk於2024 年 2 月 2 日發表的公開聲明，「作為預防措施，我們 (AnyDesk) 撤銷我們入口網站 my.anydesk.com 的所有密碼，如果使用相同的憑證，我們建議使用者更改密碼。」根據許多(BleepingComputer和The Hacker News等)資安媒體報道，攻擊者竊取了原始碼和程式碼簽署憑證；不過，AnyDesk未證實這項消息，只確認該事件並非勒索軟體攻擊。

AnyDesk 對此事件做出回應，撤銷了所有與安全相關的憑證和系統，替換或修復了其系統。它還計劃使用新的二進位檔案撤銷先前的程式碼簽署憑證。據 AnyDesk 稱，他們的調查顯示，沒有證據表明網路攻擊導致任何可用於存取最終用戶設備的私鑰、令牌或密碼被盜。此外，該公司已確認，目前沒有跡象表明漏洞對任何最終用戶設備產生了任何影響。

然而在2 月 4 日，根據資安公司Resecurity有駭客者暗網上出售大量 AnyDesk 客戶憑證，網路犯罪分子獲得的此類資訊可能會成為新攻擊的催化劑，包括有針對性的網路釣魚活動。有了有關特定客戶的更多背景資訊，成功入侵的可能性可能會顯著增加。例如，一種可能的情況可能涉及這些詳細資訊被用於代表軟體供應商、託管服務提供者(MSP) 或IT 外包公司發送的惡意電子郵件，其目的是獲取敏感資訊- 在這種情況下，下游商的入侵可重要了。獲取此類數據的來源和方法可能會有所不同，並且取決於特定駭客的策略、技術和程序 (TTP)。透過訪問AnyDesk 的portal ，駭客可以了解有關客戶的有意義的詳細資訊，包括但不限於使用的license密鑰、活動連接數量、會話持續時間、客戶ID 和聯繫資訊、與帳號關聯的電子郵件以及啟動遠端存取管理軟體的主機總數，及其線上或離線狀態和 ID。

目前尚不清楚這些憑證是如何獲得的，但 Resecurity 表示，鑑於密碼可以重置，網路犯罪分子可能會急於利用可用的客戶憑證來獲利。因為他們知道 AnyDesk 可能會採取主動措施來重置其憑證。此類資料對於初始存取代理程式和熟悉 AnyDesk 的勒索軟體團體來說可能非常有價值，AnyDesk 經常被濫用為成功網路入侵後的工具之一。據了解，暗網上大多數外洩的帳號都沒有啟用 2FA。

Hudson Rock聯合創辦人兼首席技術長 Alon Gal 等其他網路安全專家也注意到了這起事件，並向社群發出了警報。據 Gal 稱，由於資訊竊取者的活動，超過 30,000 個用戶憑證可能在暗網上流通。

AnyDesk 的活動發生在 Cloudflare宣布成為攻擊目標及微軟和慧與科技也揭露了俄羅斯國家駭客所實施的網路安全事件之後。值得一提，Resecurity 已通知 AnyDesk其多個消費者和企業憑證已在暗網上被公開。