Hjælp

Generel hjælp

Oversigt over Dashboard

Shadowserver Dashboard præsenterer statistikker på højt niveau, der afspejler de vigtigste datasæt, som Shadowserver indsamler og deler gennem sine daglige aktiviteter i over 100 daglige rapporter. Datasættene gør det muligt at identificere den udsatte angrebsflade, sårbarheder, fejlkonfigurationer, kompromitteringer af netværk samt observationer af angreb. Dataene, der deles i form af rapporter, omfatter detaljerede oplysninger på IP-niveau om et bestemt netværk eller en bestemt gruppe. Shadowserver Dashboard giver ikke mulighed for dette niveau af granularitet. I stedet præsenterer det statistikker på højt niveau, der afspejler disse aktiviteter. Dette giver indsigt i de seneste nye trusler, sårbarheder og hændelser, og det giver en situationsbevidsthed til det bredere samfund, samtidig med at alle involverede parters anonymitet bevares.

Kilder og tags

Datapræsentation er organiseret omkring kilder og tags. En kilde er i bund og grund en datagruppering af en eller anden form. De grundlæggende kilder er honeypot, population, scan, sinkhole. Både population og scan er scanningsbaserede datasæt, hvor population er en optælling af eksponerede slutpunkter uden en sårbarheds-/sikkerhedsvurdering. Et 6-suffiks repræsenterer IPv6-data (alle poster uden suffikset henviser til IPv4-data).

Kilder kan have tags tilknyttet, som giver yderligere kontekst til de data, der præsenteres. For eksempel vil tags for scan omfatte de faktiske forskellige scanningstyper (dvs. tjenester/protokoller, der scannes, såsom telnet, ftp og rdp). Tags for sinkhole vil afspejle de faktiske malware-familier, der forbinder til et sinkhole (dvs. værter, der er inficeret af en malware-familietype som adload, andromeda og necurs).

Tags giver yderligere indsigt i de præsenterede data.

Derudover introducerer vi også yderligere kildegrupperinger for bedre at afspejle observationer på sårbare eller kompromitterede værter – for eksempel http_vulnerable eller compromised_website. Disse vil typisk indeholde tags, der afspejler specifikke CVE-sårbarheder, berørte leverandører eller produkter eller oplysninger om bagdøre, webshells eller implantater, der ses. Et eksempel på http_vulnerable ville være citrix eller cve-2023-3519.

Når vi tilføjer flere detektioner til vores datasæt, ender vi med flere tags. Det betyder, at der kan komme nye kildekategorier at vælge imellem. Selvom snmp for eksempel er et tag, der findes på kilden scan, vises den også som en kilde. Dette giver os mulighed for at præsentere mere detaljerede snmp-scanningsresultater, der gør det muligt at se specifikke snmp-scanningsresultater, der er forbundet med en sårbarhed som cve-2017-6736.

Hurtige links til datakategorier: venstre navigationslinje

De præsenterede datasæt er indsamlet gennem forskellige omfattende indsamlingsmetoder, herunder sinkholing, scanning og honeypots. Disse hovedkategorier af datasæt deles på venstre navigationslinje, hvor hver kategoritype symboliseres af et andet ikon.

Målet er at gøre det muligt at dykke hurtigere ned i bestemte kildekategorier. For eksempel:

  • Sinkholes – giver et overblik over datasæt grupperet efter kilden sinkhole. Du kan derefter se et bestemt sinkhole-resultat ved at vælge et tag eller en gruppe af tags.
  • Scanninger – giver et overblik over datasæt grupperet efter kilden scan (denne kategori indeholder scanningsresultater for tjenester, der har et eller andet slags sikkerhedsproblem forbundet med dem – du kan også se populationsscanningsresultater ved at vælge kilden population i stedet). Du kan derefter se et bestemt scanningsresultat ved at vælge et tag eller en gruppe af tags.
  • Honeypot – giver et overblik over datasæt grupperet efter kilden honeypot. Du kan derefter se et bestemt honeypot-resultat ved at vælge et tag eller en gruppe af tags.
  • DDoS – giver et overblik over datasæt grupperet efter kilde honeypot_ddos_amp. Disse er forstærkede DDoS-angreb set af unikke angrebsmål i et bestemt land/region. Du kan derefter se en bestemt forstærkningsmetode, der blev brugt, ved at vælge et tag eller en gruppe af tags.
  • ICS – giver et overblik over datasæt grupperet efter kilden ics (som er scanningsresultater af native Industrial Control Systems-protokoller). Du kan derefter se de oprindelige protokoller, der blev brugt, ved at vælge et tag eller en gruppe af tags.
  • Web CVEs – giver et overblik over datasæt grupperet efter http_vulnerable og exchange. Dette er sårbare webapplikationer, der er identificeret i vores scanninger, typisk efter CVE. Du kan se CVE'erne eller de berørte produkter ved at vælge et tag eller en gruppe af tags.

Datasættene kan opdeles efter land eller landegrupper, regioner og kontinenter.

Hvert datasæt er også beskrevet i "Om disse data".

Bemærk, at der er flere datasæt tilgængelige end dem, der er fremhævet. For eksempel vil kilden beacon give dig mulighed for at udforske C2-rammeværker til efter udnyttelse, som vi ser i vores scanninger, og kilden compromised_website vil give dig mulighed for at udforske kompromitterede web-slutpunkter set i vores scanninger.

Øvre navigationslinje

Den øverste navigationslinje giver mulighed for forskellige visualiseringsmuligheder for datapræsentation samt for visualisering af enhedsidentifikation og datasæt for angrebsobservation.

Generelle statistikker

Generel statistik omfatter muligheden for at visualisere enhver kilde og ethvert tag ved at vælge:

  • Verdenskort – et verdenskort, der viser udvalgte kilder og tags. Ekstra funktioner omfatter: mulighed for at skifte visning for at vise det mest almindelige tag pr. land pr. kilde, normalisering efter population, BNP, forbinde brugere osv. Du kan også vælge markører på kortet for at vise værdier pr. land.
  • Regionskort – en kortvisning på landeniveau med lande opdelt i regioner og provinser.
  • Sammenligningskort – et sammenligningskort over to lande.
  • Tidsserie – et diagram, der viser kombinationer af kilder og tags over tid. Bemærk, at der kan anvendes forskellige former for datagrupperinger (ikke kun efter land).
  • Visualisering – tilbyder forskellige muligheder for at dykke ned i datasættene, herunder gennemsnit af værdier over tid. Giver mulighed for at vise data i form af tabeller, søjlediagrammer, boblediagrammer og meget mere.

IoT-enhedsstatistik (enhedsidentifikationsstatistik)

Dette datasæt og tilhørende visualiseringer giver et dagligt øjebliksbillede af udsatte slutpunkter grupperet efter udsatte leverandører og deres produkter identificeret gennem vores scanninger. Data er kategoriseret efter leverandør, model og enhedstype. Disse identificeres på forskellige måder, herunder websideindhold, SSL/TLS-certifikater, viste bannere osv. Datasættene indeholder kun populationsdata, dvs. der er ikke foretaget nogen vurdering af eventuelle sårbarheder forbundet med de udsatte slutpunkter (for at finde dem skal du i stedet vælge kilder som for eksempel http_vulnerable under "Generel statistik").

Der findes lignende visualiseringsdiagrammer som i "Generel statistik" med den forskel, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) leverandører, modeller og enhedstyper i stedet.

Angrebsstatistikker: Sårbarheder

Dette datasæt og de tilhørende visualiseringer giver et dagligt øjebliksbillede af angreb set af vores honeypot-sensornetværk med fokus på sårbarheder, der bruges til udnyttelse. Disse omfatter muligheden for at se produkter, der oftest angribes, og at udforske, hvordan de angribes (dvs. af hvilken udnyttet sårbarhed, som kan omfatte en bestemt CVE, der udnyttes). Du kan også se diagrammer over angrebskilder og destinationer.

Der findes lignende visualiseringsdiagrammer som i "Generel statistik", men forskellen er, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) leverandør, sårbarhed samt kilde og destination for angrebene.

Der er også blevet tilføjet en ekstra visualiseringskategori – Overvågning:

Dette er en dagligt opdateret tabel over de mest almindelige udnyttede sårbarheder grupperet efter unikke kilde-IP'er, der er observeret som angribere (eller som angrebsforsøgende, hvis statistikindstillingen for forbindelsesforsøg vælges). Data er hentet fra vores honeypot-sensornetværk. Data er grupperet efter udnyttede sårbarheder. De omfatter også CISA Known Exploited Vulnerability mappings (herunder om det er kendt, at udnyttelsen sker af en ransomware-gruppe), samt om angrebet er rettet mod en IoT-enhed frem for end en serverapplikation.

Som standard viser displayet de mest almindelige sårbarheder, der udnyttes i hele verden, men du kan også filtrere efter bestemte lande eller grupperinger eller vise en afvigelsestabel i stedet.

Angrebsstatistikker: Enheder

Dette datasæt og de tilhørende visualiseringer giver et dagligt øjebliksbillede af de typer af angribende enheder, som vores honeypot-sensornetværk ser. Fingeraftryk af disse enheder sker gennem vores daglige scanninger. Datasættene gør det muligt at spore bestemte angrebstyper, enhedsleverandører eller modeller og kan filtreres efter land.

Der findes lignende diagrammer som i "Generel statistik", men forskellen er, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) angreb type, enhed leverandør eller model i stedet.

Der er også blevet tilføjet en ekstra visualiseringskategori – Overvågning:

Dette er en dagligt opdateret tabel over de mest almindelige angribende enheder set af unikke kilde-IP'er, der er observeret som angribende (eller som angrebsforsøgende, hvis statistikindstillingen for forbindelsesforsøg vælges). Som i alle datasæt, der vises i denne kategori, stammer den fra vores honeypot-sensornetværk. Den er grupperet efter angrebstype, leverandør og model (hvis tilgængelig). Vi identificerer den angribende enhed ved at korrelere de sete IP'er med resultaterne af vores daglige fingeraftryk af enhedsscanninger (se afsnittet "IoT-enhedsstatistik").

Som standard viser displayet de mest almindelige angribende enheder (efter kilde) (dette inkluderer tilfælde, hvor vi ikke kan identificere en enhed eller f.eks. kun identificerer en leverandør). Du kan vælge at filtrere efter et bestemt land eller en bestemt gruppering eller se en afvigelsestabel i stedet.

Udviklingen af Shadowserver Dashboard blev finansieret af Storbritanniens udenrigsministerium (FCDO). Statistik over IoT-enheders fingeraftryk og statistik over honeypot-angreb samfinansieret af Den Europæiske Unions Connecting Europe Facility (EU CEF VARIoT-projekt).

Vi vil gerne takke alle vores partnere, der venligt bidrager til data, der bruges i Shadowserver Dashboard, herunder (alfabetisk) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University og alle dem, der har valgt at forblive anonyme.

Shadowserver bruger cookies til at indsamle analyser. Dette giver os mulighed for at måle, hvordan webstedet bruges og forbedre oplevelsen for vores brugere. For mere information om cookies, og hvordan Shadowserver bruger dem, se vores fortrolighedspolitik. Vi har brug for dit samtykke til at bruge cookies på denne måde på din enhed.