Помощ

Основна помощ

Преглед на таблото

Таблото за управление на Shadowserver представя статистически данни на високо ниво, които отразяват основните набори от данни, които Shadowserver събира и споделя чрез ежедневните си дейности в над 100 ежедневни отчета. Наборите от данни позволяват идентифициране на откритата повърхност за атака, уязвимости, неправилни конфигурации, компрометиране на мрежи, както и наблюдения на атаки. Данните, споделени под формата на отчети, съдържат подробна информация на ниво IP относно конкретна мрежа или избирателен район. Таблото за управление на Shadowserver не позволява това ниво на детайлност. Вместо това то представя статистически данни на високо ниво, които отразяват тези дейности. То позволява прозрения за най-новите нововъзникващи заплахи, уязвимости, инциденти, осигурявайки осведоменост за ситуацията на по-широката общност, като същевременно запазва анонимността на всички участващи страни.

Източници и тагове

Представянето на данни е организирано около източници и тагове. Източникът по същество е групиране на данни под някаква форма. Основните източници са honeypot, population, scan, sinkhole. И населението, и сканирането са набори от данни, базирани на сканиране, като населението е брой на крайната точка на експозиция без оценка на уязвимостта/сигурността. Суфиксът 6 представлява IPv6 данни (всички записи без суфикса се отнасят за IPv4 данни).

Източниците могат да имат тагове, свързани с тях, които предоставят допълнителен контекст за представените данни. Например таговете за scan ще включват действителните различни видове сканиране (т.е. услуги/протоколи, които се сканират като telnet, ftp и rdp). Таговете за sinkhole ще отразяват действителните фамилии злонамерен софтуер, свързващи се със sinkhole (т.е. хостове, заразени от тип фамилия злонамерен софтуер като adload, andromeda и necurs).

Таговете предоставят допълнителна представа за представените данни.

Освен това въвеждаме и допълнителни групирания на източници, за да отразяваме по-добре наблюденията върху уязвими или компрометирани хостове - например http_vulnerable или compromised_website. Те обикновено съдържат тагове, които отразяват специфични CVE уязвимости, доставчици или засегнати продукти или информация за задни вратички, уеб обвивки или забелязани импланти. Пример за http_vulnerable би бил citrix или cve-2023-3519.

Накрая, когато добавяме повече откривания към нашите набори от данни, получаваме повече тагове. Това означава, че може да се появят нови категории източници, от които да избирате. Например, въпреки че snmp е таг, присъстващ в източника scan, той също е представен като източник. Това ни позволява да представим по-подробни резултати от snmp сканиране, които позволяват преглед на конкретни резултати от snmp сканиране, свързани с уязвимост като cve-2017-6736.

Бързи връзки към категории данни: Лява лента за навигация

Представените набори от данни са събрани чрез различни широкомащабни методи за събиране, включително sinkholing, сканиране и honeypots. Тези основни категории на наборите от данни се споделят в лявата лента за навигация, като всеки тип категория се символизира с различна икона.

Целта е да се даде възможност за по-бързо гмуркане в конкретни категории източници. Например:

  • Sinkholes - предоставят общ преглед на набори от данни, групирани по източник sinkhole. След това можете да видите конкретен резултат от sinkhole, като изберете таг или група от тагове.
  • Сканирания - предоставят общ преглед на набори от данни, групирани по източник scan (тази категория съдържа резултати от сканиране за услуги, които имат някакъв проблем със сигурността, свързан с тях, можете също да видите резултати от сканиране на населението, като вместо това изберете източник population). След това можете да видите конкретен резултат от сканиране, като изберете таг или група от тагове.
  • Honeypots - предоставят общ преглед на набори от данни, групирани по източник honeypot. След това можете да видите конкретен резултат от honeypot, като изберете таг или група от тагове.
  • DDoS - предоставят общ преглед на набори от данни, групирани по източник honeypot_ddos_amp. Това са усилващи se DDoS атаки, наблюдавани от уникални цели в определена държава/регион. След това можете да видите използван конкретен метод на усилване, като изберете таг или група от тагове.
  • ICS - предоставя общ преглед на набори от данни, групирани по източник ics (които са резултати от сканиране на собствени протоколи на индустриални системи за контрол). След това можете да видите използваните естествени протоколи, като изберете таг или група от тагове.
  • Web CVE - предоставя общ преглед на набори от данни, групирани по http_vulnerable и exchange. Това са уязвими уеб приложения, идентифицирани при нашите сканирания обикновено от CVE. Можете да видите CVE или засегнатите продукти, като изберете таг или група от тагове.

Наборите от данни могат да бъдат разбити по държави или групи държави, региони и континенти.

Всеки набор от данни също е описан в „Относно тези данни“.

Моля, обърнете внимание, че има повече налични набори от данни, различни от маркираните. Например източникът beacon ще ви позволи да изследвате рамка C2 след експлоатацията, която виждаме в нашите сканирания, а източникът compromised_website ще ви позволи да изследвате компрометирани уеб крайни точки, наблюдавани при нашите сканирания .

Горна лента за навигация

Горната лента за навигация позволява различни опции за визуализация за представяне на данни, както и за визуализация на набори от данни за идентификация на устройства и наблюдение на атаки.

Обща статистика

Общата статистика включва възможност за визуализиране на всеки източник и таг чрез избиране на:

  • Карта на света - дисплей на карта на света, показващ избрани източници и тагове. Допълнителните функции включват: възможност за превключване на дисплея за показване на най-често срещания таг за държава за източник, нормализиране по население, БВП, свързване на потребители и т.н. Можете също да изберете маркери на картата, за да показвате стойности за държава.
  • Карта на региона - показване на карта на ниво държава с държави, разделени на региони и провинции.
  • Сравнителна карта – сравнителна карта на две държави.
  • Времеви редове – диаграма, показваща комбинации от източник и таг във времето. Имайте предвид, че се позволява различни форми на групиране на данни (не само по държава).
  • Визуализация - предлага различни опции за задълбочаване на наборите от данни, включително средни стойности във времето. Позволява показване на данни под формата на таблици, стълбовидни диаграми, балонови диаграми и др.

Статистика за IoT устройства (статистика за идентификация на устройството)

Този набор от данни и свързаните визуализации предоставят ежедневна моментна снимка на откритите крайни точки, групирани по изложени доставчици и техните продукти, идентифицирани чрез нашите сканирания. Данните са категоризирани по доставчик, модел и тип устройство. Те се идентифицират чрез различни средства, включително съдържание на уеб страница, SSL/TLS сертификати, показани банери и т.н. Наборите от данни съдържат само данни за населението, т.е. не се прави оценка на каквито и да било уязвимости, свързани с изложените крайни точки (за да ги намерите, вместо това изберете източници, като например http_vulnerable под „Обща статистика“).

Съществуват подобни графики за визуализация като в „Обща статистика“, с разликата, че вместо да използвате източници и тагове, можете да преглеждате (и групирате по) доставчици, модели и типове устройства вместо това.

Статистика на атаките: Уязвимости

Този набор от данни и свързаните визуализации осигуряват ежедневна моментна снимка на атаките, наблюдавани от нашата сензорна мрежа honeypot, с акцент върху уязвимостите, използвани за експлоатация. Те включват способността да преглеждате продукти, които са най-често атакувани, и да изследвате как са атакувани (т.е. от коя използвана уязвимост, която може да включва определен CVE, който се използва). Можете също да видите диаграми по източник на атаките и дестинации.

Съществуват подобни диаграми за визуализация като в „Обща статистика“, с разликата, че вместо да използвате източници и тагове, можете да преглеждате (и групирате по) доставчик, уязвимост както и източник и дестинация на атаките.

Добавена е и допълнителна категория за визуализация - Мониторинг:

Това е актуализирана ежедневна таблица на най-често използваните уязвимости, групирани по уникални IP адреси на източника, забелязани като атакуващи (или наблюдавани опити за атака, ако изберете опцията за статистика на опитите за свързване). Данните се извличат от нашата сензорна мрежа honeypot. Данните са групирани по използвани уязвимости. Той също така включва картографиране на известни експлоатирани уязвимости на CISA (включително дали е известно, че се използва от група софтуер за откупи), както и дали атаката е срещу IoT устройство, а не срещу сървърно приложение.

По подразбиране дисплеят показва най-честите уязвимости, използвани за целия свят, но можете също да филтрирате по конкретна държава или групиране или вместо това да покажете таблица с аномалии.

Статистика на атаките: Устройства

Този набор от данни и свързаните визуализации предоставят ежедневна моментна снимка на типовете атакуващи устройства, наблюдавани от нашата сензорна мрежа honeypot. Снемането на пръстови отпечатъци на тези устройства се извършва чрез нашите ежедневни сканирания. Наборите от данни позволяват проследяване на конкретни видове атаки, доставчици на устройства или модели и могат да бъдат филтрирани по държава.

Съществуват подобни диаграми като в „Обща статистика“, като разликата е, че вместо да използвате източници и тагове, можете да преглеждате (и групирате по) тип атака , доставчик на устройството или модел вместо това.

Добавена е и допълнителна категория за визуализация - мониторинг:

Това е актуализирана ежедневна таблица на най-често срещаните атакуващи устройства, наблюдавани от уникални изходни IP адреси, наблюдавани като атакуващи (или наблюдавани опити за атака, ако изберете опцията за статистика на опитите за свързване). Както във всички набори от данни, показани в тази категория, те произлизат от нашата сензорна мрежа honeypot. Групирани са по тип атака, доставчик и модел (ако е наличен). Ние определяме атакуващото устройство, като съпоставяме IP адресите, наблюдавани с резултатите от нашите ежедневни пръстови отпечатъци при сканиране на устройства (вижте раздела „Статистика на IoT устройства“).

По подразбиране дисплеят показва най-често срещаните атакуващи устройства (по източник), забелязани да атакуват (това включва случаи, когато не можем да идентифицираме устройство или например идентифицираме само доставчик). Можете да изберете да филтрирате по конкретна държава или групиране или вместо това да покажете таблица с аномалии.

Разработването на таблото за управление на Shadowserver беше финансирано от UK FCDO. Статистика за пръстови отпечатъци на IoT устройство и статистика за атаки на honeypot, съфинансирани от Инструмента за свързване на Европа на Европейския съюз (проект на ЕС CEF VARIoT).

Бихме искали да благодарим на всички наши партньори, които любезно допринасят за данните, използвани в таблото за управление на Shadowserver, включително (по азбучен ред) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Националния университет на Йокохама и всички, които избраха да останат анонимни.

Shadowserver използва бисквитки за събиране на анализи. Това ни позволява да измерваме как се използва сайтът и да подобряваме изживяването за нашите потребители. За повече информация относно бисквитките и как Shadowserver ги използва, вижте нашата политика за поверителност. Нуждаем се от вашето съгласие, за да използваме бисквитки по този начин на вашето устройство.