Ohje

Yleinen ohje

Koontinäytön yleiskatsaus

Shadowserver-koontinäytöllä esitetään korkeatasoisia tilastoja, jotka kuvastavat tärkeimpiä tietokokonaisuuksia, joita Shadowserver kerää ja jakaa päivittäisessä toiminnassaan yli 100 päivittäisen raporttinsa välityksellä. Tietokokonaisuuksien avulla voidaan tunnistaa alttiina oleva hyökkäyspinta, haavoittuvuudet, virheelliset konfiguraatiot ja verkkojen vaarantumiset sekä havainnoida hyökkäyksiä. Raporttien muodossa jaetut tiedot sisältävät yksityiskohtaista IP-tason tietoa määritellystä verkosta tai sen osasta. Shadowserver-koontinäyttö itsessään ei ole yhtä yksityiskohtainen, vaan se esittää korkeatasoisia tilastoja, jotka kuvastavat näitä toimintoja. Näin saadaan katsaus uusimmista uhkista, haavoittuvuuksista ja vaaratilanteista, mikä tarjoaa tilannetietoisuutta laajemmalle yhteisölle säilyttäen kuitenkin samalla asianosaisten anonymiteetin.

Lähteet ja tunnisteet

Tietojen esitystapa perustuu lähteisiin ja tunnisteisiin. Lähde on pohjimmiltaan tietynlainen tietoryhmä. Peruslähteet ovat honeypot, population, scan ja sinkhole. Sekä ”populaatio” että ”skannaus” ovat skannaukseen perustuvia tietokokonaisuuksia, ”populaatio” tarkemmin alttiiden päätepisteiden lukumäärä ilman haavoittuvuuksien/turvallisuuden arviointia. Jälkiliite 6 edustaa IPv6-tietoja (kaikki syötteet, joissa ei ole tätä jälkiliitettä, viittaavat IPv4-tietoihin).

Lähteisiin voidaan liittää tunnisteita, jotka antavat lisäkontekstia esitettäville tiedoille. Esimerkiksi scan-tunnisteisiin sisältyvät varsinaiset skannaustyypit (eli skannattavat palvelut/protokollat, kuten telnet, ftp ja rdp). sinkhole-tunnisteet viittaavat sinkhole-palvelimeen liittyviin varsinaisiin haittaohjelmaperheisiin (eli isäntiä tartuttaneisiin haittaohjelmaperhetyyppeihin, kuten adload, andromeda ja necurs).

Tunnisteet antavat lisätietoa esitetyistä tiedoista.

Lisäämme myös uusia lähderyhmittelyjä haavoittuvien tai vaarantuneiden isäntien havainnoinnin kuvaamiseksi selkeämmin – tällaisia ovat esimerkiksi http_vulnerable ja compromised_website. Nämä ryhmittelyt sisältävät tyypillisesti tunnisteita, jotka koskevat tiettyjä CVE-haavoittuvuuksia, asiaankuuluvia myyjiä tai tuotteita tai takaoviin, webshelleihin tai implantteihin liittyviä tietoja. Esimerkki tunnisteelle http_vulnerable voisi olla citrix tai cve-2023-3519.

Tunnisteiden määrä kasvaa, kun lisäämme havaintoja tietokokonaisuuksiimme. Tämä tarkoittaa, että valittavaksi voi ilmestyä uusia lähdeluokkia. Esimerkki: vaikka snmp on tunniste lähteessä scan, se esitetään lisäksi lähteenä. Näin voimme esittää yksityiskohtaisempia SNMP-skannaustuloksia, joiden avulla voidaan tarkastella tiettyjä haavoittuvuuteen liittyviä SNMP-tuloksia (esim. cve-2017-6736).

Pikalinkit tietoluokkiin: vasen siirtymispalkki

Esitetyt tietokokonaisuudet on kerätty erilaisilla laajamittaisilla keruumenetelmillä, kuten sinkholing-, skannaus- ja hunajapurkkimenetelmillä. Tietokokonaisuuksien pääluokat näytetään vasemmanpuoleisessa siirtymispalkissa; kutakin luokkaa edustaa oma kuvakkeensa.

Tämän tarkoituksena on mahdollistaa nopeampi pääsy tiettyihin lähdeluokkiin. Esimerkki:

  • Sinkhole-palvelimet – tarjoaa yleiskuvan lähteen sinkhole mukaan ryhmitellyistä tietokokonaisuuksista. Voit tarkastella tiettyä sinkhole-tulosta valitsemalla tunnisteen tai tunnisteryhmän.
  • Skannaukset – tarjoaa yleiskuvan lähteen scan mukaan ryhmitellyistä tietokokonaisuuksista (tämä luokka sisältää sellaisten palveluiden skannaustulokset, joihin liittyy jonkinlainen tietoturvaongelma; jos haluat tarkastella populaatioskannaustuloksia, valitse lähde population). Voit tarkastella tiettyä skannaustulosta valitsemalla tunnisteen tai tunnisteryhmän.
  • Hunajapurkit – tarjoaa yleiskuvan lähteen honeypot mukaan ryhmitellyistä tietokokonaisuuksista. Voit tarkastella tiettyä hunajapurkkitulosta valitsemalla tunnisteen tai tunnisteryhmän.
  • DDoS – tarjoaa yleiskuvan lähteen honeypot_ddos_amp mukaan ryhmitellyistä tietokokonaisuuksista. Nämä ovat DDoS-vahvistinhyökkäyksiä, jotka on havainnut yksittäinen kohde tietyssä maassa/alueella. Voit tarkastella tiettyä vahvistinmenetelmää valitsemalla tunnisteen tai tunnisteryhmän.
  • ICS – tarjoaa yleiskuvan lähteen ics mukaan ryhmitellyistä tietokokonaisuuksista (natiivien Industrial Control Systems -protokollien skannaustulokset). Voit tarkastella natiiviprotokollia valitsemalla tunnisteen tai tunnisteryhmän.
  • Verkon CVE:t – tarjoaa yleiskuvan lähteiden http_vulnerable ja exchange mukaan ryhmitellyistä tietokokonaisuuksista. Nämä ovat haavoittuvia verkkosovelluksia, jotka on havaittu skannauksissamme tyypillisesti CVE-haavoittuvuuksina. Voit tarkastella CVE-haavoittuvuuksia tai asiaankuuluvia tuotteita valitsemalla tunnisteen tai tunnisteryhmän.

Tietokokonaisuudet voidaan jaotella maittain tai maaryhmittäin, alueittain ja maanosittain.

Kukin tietokokonaisuus kuvataan myös kohdassa ”Tietoja tästä datasta”.

Huomaa, että saatavilla on käsiteltyjen tietokokonaisuuksien lisäksi muitakin tietokokonaisuuksia. Esimerkiksi lähdettä beacon käyttämällä voit tarkastella hyökkäyksen jälkeisiä C2-kehyksiä, joita skannauksissamme havaitaan, kun taas lähde compromised_website mahdollistaa skannauksissamme havaittujen vaarantuneiden verkkopäätepisteiden tarkastelun.

Yläsiirtymispalkki

Yläsiirtymispalkista voidaan valita erilaisia visualisointivaihtoehtoja tietojen sekä laitteiden tunnistamista ja hyökkäysten havainnointia koskevien tietokokonaisuuksien esittämistä varten.

Yleiset tilastot

Yleiset tilastot -kohdassa voidaan tarkastella mitä tahansa lähdettä ja tunnistetta seuraavilla valinnoilla:

  • Maailmankartta – maailmankartalla näytetään valitut lähteet ja tunnisteet. Lisäominaisuudet: mahdollisuus näyttää yleisimmät tunnisteet maittain ja lähteittäin sekä normalisointi populaation, BKT:n, yhteydessä olevien käyttäjien jne. mukaan. Voit myös valita kartalta merkkejä maakohtaisten arvojen näyttämiseksi.
  • Alueen kartta – maakohtainen kartta, jossa maat on jaettu alueisiin ja maakuntiin.
  • Vertailukartta – kahden maan vertailukartta.
  • Aikasarja – kaavio, joka näyttää lähde- ja tunnisteyhdistelmät ajan mittaan. Huomaa, että tämä mahdollistaa erilaiset tietojen ryhmittelyt (ei ainoastaan maittain).
  • Visualisointi – tarjoaa erilaisia vaihtoehtoja tietokokonaisuuksien erittelyyn, mukaan lukien arvojen keskiarvot ajan kuluessa. Mahdollistaa tietojen näyttämisen taulukoiden, pylväskaavioiden, kuplakaavioiden yms. muodossa.

IoT-laitetilastot (laitetunnistustilastot)

Tämä tietokokonaisuus ja siihen liittyvät visualisoinnit tarjoavat päivittäisen tilannekuvan altistuneista päätepisteistä, jotka on ryhmitelty skannauksissamme havaittujen altistuneiden myyjien ja niiden tuotteiden mukaan. Tiedot on luokiteltu myyjän, mallin ja laitetyypin mukaan. Nämä tunnistetaan eri keinoin, kuten verkkosivujen sisällön, SSL/TLS-varmenteiden, näytettävien bannerien yms. mukaan. Nämä tietokokonaisuudet sisältävät vain populaatiotietoja, mikä tarkoittaa, että alttiisiin päätepisteisiin liittyviä haavoittuvuuksia ei ole arvioitu (valitse haavoittuvuustietoja varten lähde, kuten http_vulnerable, kohdasta ”Yleiset tilastot”).

Kohdan ”Yleiset tilastot” kaavioita vastaavia visualisointikaavioita on käytettävissä, mutta niissä käytetään lähteiden ja tunnisteiden sijaan tarkasteluperusteina (ja ryhmittelyperusteina) myyjiä, malleja ja laitetyyppejä.

Hyökkäystilastot: haavoittuvuudet

Tämä tietokokonaisuus ja siihen liittyvät visualisoinnit tarjoavat päivittäisen tilannekuvan hunajapurkkitunnistinverkostomme havaitsemista hyökkäyksistä hyödynnettäviin haavoittuvuuksiin keskittyen. Voit tarkastella tuotteita, joita vastaan hyökätään useimmin, sekä itse hyökkäystapoja (haavoittuvuus, jota hyökkäyksessä hyödynnetään; voi sisältää tietyn CVE:n). Voit myös tarkastella kaavioita hyökkäysten lähteiden ja kohteiden mukaan.

Kohdan ”Yleiset tilastot” kaavioita vastaavia visualisointikaavioita on käytettävissä, mutta niissä käytetään lähteiden ja tunnisteiden sijaan tarkasteluperusteina (ja ryhmittelyperusteina) myyjää, haavoittuvuutta ja hyökkäysten lähdettä ja kohdetta.

Visualisointiin on lisätty lisäluokka ”Valvonta”:

Tämä on päivitetty yleisimpien haavoittuvuuksien päivittäistaulukko, jossa haavoittuvuudet on ryhmitelty hyökkäävien yksilöllisten IP-lähdeosoitteiden mukaan (tai havaittujen hyökkäysyritysten mukaan, jos valitset yhteysyrityksiä koskevan tilastovaihtoehdon). Tiedot ovat peräisin hunajapurkkitunnistinverkostostamme. Tiedot on ryhmitelty hyödynnettyjen haavoittuvuuksien mukaan. Tietoihin sisältyvät myös CISA:n Known Exploited Vulnerability -kartoitukset (mukaan lukien tieto siitä, onko kyseessä kiristysohjelmaryhmän hyödyntämä haavoittuvuus) sekä se, onko hyökkäys kohdistunut IoT-laitteeseen palvelinsovelluksen sijaan.

Näytöllä näytetään oletusarvoisesti koko maailman yleisimmät hyödynnetyt haavoittuvuudet, mutta voit suodattaa tiedot tietyn maan tai ryhmittelyn mukaan tai näyttää näiden sijaan poikkeamataulukon.

Hyökkäystilastot: laitteet

Tämä tietokokonaisuus ja siihen liittyvät visualisoinnit tarjoavat päivittäisen tilannekuvan hunajapurkkitunnistinverkostomme havaitsemien hyökkäyslaitteiden tyypeistä. Näiden laitteiden sormenjäljet saadaan päivittäisten skannausten kautta. Tietokokonaisuuksien avulla voidaan seurata tiettyjä hyökkäystyyppejä ja laitemyyjiä tai -malleja, ja tiedot voidaan suodattaa maittain.

Kohdan ”Yleiset tilastot” kaavioita vastaavia kaavioita on käytettävissä, mutta niissä käytetään lähteiden ja tunnisteiden sijaan tarkasteluperusteina (ja ryhmittelyperusteina) hyökkäyksen tyyppiä tai laitteen myyjää tai mallia.

Visualisointiin on lisätty lisäluokka ”Valvonta”:

Tämä on päivitetty päivittäistaulukko yleisimmistä hyökkäävistä laitteista, jotka on tunnistettu hyökkäävien yksilöllisten IP-lähdeosoitteiden mukaan (tai havaituista hyökkäysyrityksistä, jos valitset yhteysyrityksiä koskevan tilastovaihtoehdon). Kuten kaikki tässä luokassa esitetyt tietokokonaisuudet, tämäkin on peräisin hunajapurkkitunnistinverkostostamme. Tiedot on ryhmitelty havaitun hyökkäystyypin, myyjän ja mallin mukaan (jos saatavilla). Määritämme hyökkäävän laitteen korreloimalla havaitut IP-osoitteet päivittäisen laiteskannauksen sormenjälkitulosten kanssa (katso kohta ”IoT-laitetilastot”).

Näytöllä näytetään oletusarvoisesti yleisimmät hyökkäävät laitteet (lähteen mukaan), joiden on havaittu hyökkäävän (tähän sisältyvät myös tapaukset, joissa laitetta ei voida tunnistaa tai esimerkiksi ainoastaan myyjä tunnistetaan). Voit suodattaa tiedot tietyn maan tai ryhmittelyn mukaan tai näyttää näiden sijaan poikkeamataulukon.

Shadowserver-koontinäytön kehitystyön rahoitti Yhdistyneen kuningaskunnan FCDO-virasto. IoT-laitteiden sormenjälkitilastot ja hunajapurkkien hyökkäystilastot osarahoittaa Euroopan unionin Verkkojen Eurooppa -väline (EU CEF VARIoT -hanke).

Haluamme kiittää kaikkia yhteistyökumppaneitamme, jotka ovat osallistuneet Shadowserver-koontinäytöllä käytettävien tietojen tuottamiseen, mukaan lukien (aakkosjärjestyksessä): APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University ja muut yhteistyökumppanimme, jotka halusivat pysyä nimettöminä.

Shadowserver käyttää evästeitä analytiikkatietojen keräämiseen. Ne auttavat meitä mittaamaan sivuston käyttöä ja parantamaan käyttäjäkokemusta. Lisätietoja evästeistä ja siitä, miten Shadowserver käyttää niitä, on tietosuojakäytännössämme. Evästeiden käyttäminen laitteessasi tällä tavoin edellyttää suostumustasi.