Yardım

Ümumi yardım

Mənbə və teqlər

Shadowserver Məlumat Paneli 100-dən çox gündəlik hesabatda Shadowserver-in gündəlik fəaliyyətlər ilə topladığı və paylaşdığı əsas məlumat toplularını əks etdirən yüksək səviyyəli statistika təqdim edir. Məlumat topluları təsirə məruz qalan hücum səthini, həssas məqamları, yanlış konfiqurasiyaları, şəbəkələr arasında kompromisləri, habelə hücumları müşahidə etməyə imkan verir. Hesabat şəklində paylaşılan məlumatlar konkret şəbəkə və ya icazə səviyyəsi ilə bağlı hərtərəfli İP səviyyəli məlumatları ehtiva edir. Shadowserver Məlumat Paneli bu icazə səviyyəsinə imkan vermir. Bunun əvəzinə bu fəaliyyətləri əks etdirən yüksək səviyyəli statistika təqdim edir. Bu, ən son yaranan təhdidlər, həssas məqamlar, insidentlər barədə məlumat əldə etməyə imkan verir və bununla bağlı hər hansı iştirakçı tərəfin anonimliyini qoruyub saxlayır.

Mənbələr və teqlər

Məlumat təqdimatı mənbələrteqlər əsasında təşkil edilir. Mənbə mahiyyətcə hər hansı bir formada məlumat qruplaşmasıdır. Əsas mənbələr honeypot, population, scan, sinkholedır. Həm əhali, həm də skanlama özlüyündə skanlamaya əsaslanan məlumat toplusudur və həssas məqamlar/təhlükəsizlik qiymətləndirilməsi olmadan əhalinin təsirin son nöqtələrinin sayını göstərir. 6 şəkilçisi IPv6 məlumatlarını təmsil edir (şəkilsi olmayan bütün qeydlər IPv4 məlumatlarına istinad edir).

Mənbələrdə təqdim olunan məlumatlar üçün əlavə konteksti təmin edən onlarla əlaqəli teqlər ola bilər. Məsələn, scan üçün teqlər mövcud müxtəlif skanlama növlərini (məsələn, telnet, ftprdp kimi skan edilən xidmətlər/protokollar daxil olacaq) əhatə edəcək. sinkhole üçün teqlər mühafizə mexanizminə (yəni, adload, andromedanecurs kimi zərərli proqram ailəsi növünün təsirinə məruz qalmış hostlar) qoşulan faktiki zərərli proqram qruplarını əks etdirəcək.

Teqlər təqdim olunan məlumatlar haqqında əlavə faydlı məlumat verir.

Bundan əlavə, biz həssas və ya təhlükə altında olan hostlar üzrə müşahidələri daha yaxşı əks etdirmək üçün əlavə mənbə qruplaşmalarını təqdim edirik - məsələn, http_vulnerable (həssas) və ya compromised_website (təhlükə altında olan vebsayt). Bunlar adətən spesifik CVE-nin həssas məqamlarını, təsirə məruz qalan vendorları və ya məhsulları və ya hiylə, veb-örtüklər və ya görünən əlfəcinlər haqqında məlumatları əks etdirən teqləri ehtiva edəcək. http_vulnerable üçün nümunə citrix və ya cve-2023-3519 ola bilər.

Nəhayət, məlumat toplularımıza daha çox aşkarlama əlavə etdikcə, daha çox teq əldə edirik. Bu o deməkdir ki, seçim etmək üçün yeni mənbə kateqoriyaları görünə bilər. Məsələn, snmp, scan mənbəsində mövcud olan teq olsa da, o, həm də mənbə kimi göstərilir. Bu, bizə cve-2017-6736 kimi həssas məqamla əlaqəli xüsusi snmp skanlama nəticələrinə baxmağa imkan verən daha ətraflı snmp skanlama nəticələrini təqdim etməyə imkan verir.

Məlumat kateqoriyalarına sürətli keçidlər: Sol naviqasiya paneli

Təqdim olunan məlumat topluları müxtəlif irimiqyaslı toplama üsulları, o cümlədən mühafizə mexanizmləri, skanlama və hakerlər üçün fəndlər vasitəsilə toplanır. Məlumat toplusunun bu əsas kateqoriyaları sol naviqasiya panelində paylaşılır, hər bir kateqoriya növü fərqli bir ikona ilə simvolizə olunur.

Məqsəd xüsusi mənbə kateqoriyalarına daha dərindən nüfuz etməyi təmin etməkdir. Məsələn:

  • Sinkholes (Mühafizə vasitələri) - sinkhole mənbəsi üzrə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək müəyyən bir sinkhole (mühafizə mexanizmi) nəticəsinə baxa bilərsiniz.
  • Scans (Skanlamalar) - scan mənbəsinə görə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir (bu kateqoriyada onlarla əlaqəli bir növ təhlükəsizlik problemi olan xidmətlər üçün skanlama nəticələri yer alır, siz həmçinin population (əhali) mənbəyini seçməklə əhali üzrə skanlama nəticələrinə baxa bilərsiniz). Daha sonra teq və ya teqlər qrupunu seçməklə xüsusi skanlama nəticəsinə baxa bilərsiniz.
  • Honeypots (Hakerlər üçün fəndlər) - honeypot mənbəyi əsasında qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək müəyyən hakerlər üçün fənd nəticələrinə baxa bilərsiniz.
  • DDoS - honeypot_ddos_amp mənbəyinə görə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Bunlar müəyyən bir ölkədə/bölgədə unikal hədəflər tərəfindən müşahidə olunan gücləndirilmiş DDoS hücumlarıdır. Daha sonra teq və ya teqlər qrupunu seçməklə istifadə edilən xüsusi gücləndirmə metoduna baxa bilərsiniz.
  • ICS - ics mənbəyinə əsasən qruplaşdırılmış məlumat toplusuna ümumi baxışı (lokal Sənaye İdarəetmə Sistemləri protokollarının skanlama nəticələri) təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək istifadə edilən yerli protokollara baxa bilərsiniz.
  • Web CVEs (Veb CVE-lər) - http_vulnerableexchange ilə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Bunlar bizim skanlarımızda adətən CVE tərəfindən müəyyən edilən həssas veb tətbiqlərdir. Siz teq və ya teqlər qrupunu seçməklə CVE-lərə və ya təsirə məruz qalmış məhsullara baxa bilərsiniz.

Məlumat topluları ölkə və ya ölkə qruplarına, bölgələrə və qitələrə görə bölünə bilər.

Hər bir məlumat toplusu “Bu məlumat haqqında” bölməsində də təsvir edilmişdir.

Qeyd edək ki, vurğulananlardan başqa da məlumat topluları mövcuddur. Məsələn, beacon (veb-mayak) mənbəyi sizə skanlarımızda gördüyümüz istismardan sonrakı C2 çərçivələrini, compromised_website (təhlükə altında olan vebsayt) mənbəyi isə skanlarımızda görünən təhlükəyə məruz qalmış veb son nöqtələrini araşdırmağa imkan verəcək.

Yuxarı naviqasiya paneli

Yuxarı naviqasiya paneli məlumatların təqdimatı üçün müxtəlif vizuallaşdırma seçimlərinə, habelə cihazın identifikasiyası və hücumların müşahidəsi üzrə məlumat toplularının vizuallaşdırılmasına imkan verir.

Ümumi statistika

Ümumi statistikada aşağıdakıları seçməklə hər hansı mənbəteqi vizuallaşdırmaq imkanı yer alır:

  • Dünya xəritəsi - seçilmiş mənbələriteqləri göstərən dünya xəritəsi ekranıdır. Əlavə xüsusiyyətlərə aşağıdakılar daxildir: hər mənbəyə görə ölkə üzrə ən ümumi teqi göstərmək üçün ekranı dəyişmək imkanı, əhali üzrə normal göstəricilər, ÜDM, istifadəçiləri birləşdirmək və s. Siz həmçinin hər ölkə üzrə nəticələri göstərmək üçün xəritədə markerlər seçə bilərsiniz.
  • Bölgə xəritəsi - bölgələrə və əyalətlərə bölünmüş ölkələri göstərən ölkə səviyyəli xəritə ekranı.
  • Müqayisə xəritəsi - iki ölkənin müqayisə xəritəsi.
  • Vaxt intervalı - zamanla mənbəteq birləşmələrini göstərən qrafik. Qeyd edək ki, o, məlumat qruplaşdırmasının (yalnız ölkə üzrə deyil) müxtəlif formalarına imkan verir.
  • Vizuallaşdırma - zamanla nəticələrin orta göstəriciləri də daxil olmaqla, məlumat toplusuna daxil olmaq üçün müxtəlif variantları təklif edir. Cədvəllər, histoqramlar, vəziyyət diaqramları və s. şəklində məlumatları göstərməyə imkan verir.

IoT cihaz statistikası (cihazın identifikasiyası statistikası)

Bu məlumat toplusu və əlaqəli vizualizasiyalar skanlarımız vasitəsilə müəyyən edilmiş təsirə məruz qalmış vendorlar və onların məhsulları tərəfindən qruplaşdırılan təsirə məruz qalmış son nöqtələrin gündəlik görüntüsünü təqdim edir. Məlumatlar vendor, model və cihaz növünə görə təsnif edilir. Bunlar müxtəlif vasitələrlə, o cümlədən veb-səhifənin məzmunu, SSL/TLS sertifikatları, nümayiş olunan bannerlər və s. vasitəsilə müəyyən edilir. Məlumat topluları yalnız əhali məlumatlarını ehtiva edir, yəni, təsirə məruz qalan son nöqtələrlə əlaqəli hər hansı boşluqla bağlı heç bir qiymətləndirmə aparılmır (bunları tapmaq üçün əvəzində “Ümumi statistika”nın altında http_vulnerable kimi mənbələri seçin).

“Ümumi statistika”da olduğu kimi analoji vizuallaşdırma diaqramları mövcuddur, fərq ondan ibarətdir ki, mənbələrteqlər əvəzinə siz vendorlar, modellərcihaz növlərinə baxa bilərsiniz.

Hücum statistikası: Həssas məqamlar

Bu məlumat bazası və əlaqəli vizualizasiyalar istismar üçün istifadə olunan həssas məqamlara diqqət yetirməklə, hakerlər üçün fəndlər sensor şəbəkəmiz tərəfindən müşahidə olunan hücumların gündəlik görüntüsünü təqdim edir. Bunlara ən çox hücuma məruz qalan məhsullara baxmaq və onların necə hücuma məruz qaldığını araşdırmaq (yəni, istifadə olunan hansı həssas məqam konkret CVE istifadəsini ehtiva edə bilər) imkanı daxildir. Siz həmçinin hücumların mənbəyi və təyinat yerləri üzrə diaqramlara baxa bilərsiniz.

“Ümumi statistika”da olduğu kimi analoji vizuallaşdırma diaqramları mövcuddur, fərq ondan ibarətdir ki, mənbələrteqlər əvəzinə siz vendor, həssas tərəflər, habelə hücumların mənbəyi və təyinat yerinə baxa (və qruplaşdıra bilərsiniz).

Əlavə vizuallaşdırma kateqoriyası - Monitorinq də əlavə edildi:

Bu, hücum zamanı müşahidə edilən unikal mənbə İP-ləri (və ya qoşulma cəhdləri statistik seçimini etsəniz, görünən hücum cəhdləri) üzrə qruplaşdırılmış ən ümumi istifadə edilən həssas məqamların yenilənmiş gündəlik cədvəlidir. Məlumatlar bizim hakerlər üçün fəndlər sensoru şəbəkəmizdən alınır. Məlumatlar istifadə olunan həssas məqamlara görə qruplaşdırılır. Buraya həmçinin CISA-nın Məlum İstifadə olunan Həssas Məqam xəritələri (ransomware (alış tələb edən virus) qrupu tərəfindən istismar edilib-edilməməsi daxil olmaqla) və hücumun server tətbiqi proqramından çox IoT cihazına qarşı olub-olmaması daxildir.

Standart olaraq ekran qlobal miqyasda istifadə edilən ən ümumi həssas məqamları göstərir, lakin siz həmçinin konkret ölkə üzrə filtrləyə və ya qruplaşdıra və ya anomaliya cədvəlini göstərə bilərsiniz.

Hücum statistikası: Cihazlar

Bu məlumat bazası və əlaqəli vizualizasiyalar hakerlər üçün fənd sensor şəbəkəmiz tərəfindən müşahidə olunan hücum edən cihaz növlərinin gündəlik görüntüsünü təqdim edir. Bu cihazların barmaq izi gündəlik skanlamalarımız vasitəsilə həyata keçirilir. Məlumat topluları xüsusi hücum növlərini, cihaz vendorlarını və ya modellərini izləməyə imkan verir və ölkə üzrə filtrlənə bilər.

“Ümumi statistika”da olduğu kimi analoji diaqramlar mövcuddur, fərq ondan ibarətdir ki, mənbələrteqlər əvəzinə siz növ, cihaz vendoru və ya modelə baxa (və qruplaşdıra) bilərsiniz.

Əlavə vizuallaşdırma kateqoriyası - Monitorinq də əlavə edildi:

Bu, hücumun müşahidə edildiyi unikal mənbə İP-ləri tərəfindən müşahidə olunan ən ümumi hücum edən cihazların (və ya qoşulma cəhdləri statistik seçimini etsəniz, müşahidə olunan hücum cəhdləri) yenilənmiş gündəlik cədvəlidir. Bu kateqoriyada göstərilən bütün məlumat toplularında olduğu kimi, o, bizim hakerlər üçün fəndlər sensor şəbəkəmizdən əldə edilmişdir. O, müşahidə olunan hücum növü, vendor və model (əgər varsa) üzrə qruplaşdırılıb. Gündəlik cihaz skanlamaları üzrə barmaq izinin nəticələri ilə müşahidə olunan İP-ləri əlaqələndirərək hücum edən cihazı müəyyən edirik (“IoT cihaz statistikası” bölməsinə baxın).

Standart olaraq ekranda hücum edildiyi müşahidə olunan ən ümumi hücum edən cihazlar (mənbəyə görə) göstərilir (buraya cihazı müəyyən edə bilmədiyimiz hallar və ya məsələn, yalnız vendoru müəyyən etmək daxildir). Siz konkret ölkə üzrə filtr etməyi və ya qruplaşdırmağı, yaxud əvəzində anomaliya cədvəlini göstərməyi seçə bilərsiniz.

Shadowserver Məlumat Panelinin işlənilib hazırlanması UK FCDO tərəfindən maliyyələşdirilib. Avropa İttifaqının Avropanı Birləşdirmə Mexanizmi (CEF) (EU CEF VARIoT layihəsi) tərəfindən birgə maliyyələşdirilən IoT cihazının barmaq izi statistikası və hakerlər üçün fənd hücumu statistikası.

Biz Shadowserver Məlumat Panelində istifadə olunan məlumatlara xoş şəkildə töhfə verən bütün tərəfdaşlarımıza, o cümlədən (əlifba sırası ilə) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University və anonim qalmağı seçən bütün tərəfdaşlara təşəkkürümüzü bildirmək istərdik.

Shadowserver analitika toplamaq üçün kukilərdən istifadə edir. Bu, saytın necə istifadə olunduğunu ölçməyə və istifadəçilərimiz üçün təcrübəni təkmilləşdirməyə imkan verir. Kukilər və Shadowserver-in onlardan necə istifadə etməsi haqqında ətraflı məlumat üçün məxfilik siyasətimizə baxın. Cihazınızda kukilərdən bu şəkildə istifadə etmək üçün razılığınız lazımdır.