Aide

Aide générale

Aperçu du tableau

Le tableau de bord Shadowserver présente des statistiques de haut niveau qui reflètent les ensembles de données principaux que Shadowserver collecte et partage dans le cadre de ses activités quotidiennes dans plus de 100 rapports quotidiens. Les ensembles de données permettent l’identification de la surface d’attaque exposée, des vulnérabilités, des mauvaises configurations, des compromis des réseaux ainsi que des observations d’attaques. Les données, partagées sous la forme de rapports, contiennent les informations de niveau IP détaillées concernant un réseau ou groupe particulier. Le tableau de bord Shadowserver ne permet pas ce niveau de détail. Au lieu de cela, il présente les statistiques de haut niveau qui reflètent ces activités. Ceci permet d’obtenir des informations concernant les dernières menaces émergentes, les vulnérabilités, les incidents fournissant une conscience situationnelle à la communauté en général tout en préservant l’anonymat de toute partie impliquée.

Sources et balises

La présentation de données est organisée autour de sources et de balises. Une source est essentiellement un groupement de données d’une certaine forme. Les sources de base sont honeypot, population, scan, sinkhole. La population et le scan sont des ensembles de données basées sur le balayage, la population étant un compte de points de terminaison d’exposition sans évaluation de vulnérabilité/sécurité. Un suffixe 6 représente les données IPv6 data (toutes les entrées sans le suffixe se rapportent aux données IPv4).

Des balises peuvent être associées aux sources et celles-ci fournissent un contexte supplémentaire pour les données présentées. Par exemple, les balises pour le scan vont inclure les différents types de balayages réels (c.-à-d. services/protocoles étant scannés comme telnet, ftp et rdp). Les balises pour le sinkhole refléteraient les familles de malware réelles se connectant à un sinkhole (c.-à-d. les hôtes infectés par un type de famille de malware comme adload, andromeda et necurs).

Les balises fournissent des informations supplémentaires sur les données présentées.

De plus, nous introduisons également des groupements de sources supplémentaires pour mieux refléter les observations sur les hôtes vulnérables ou compromis - par exemple, http_vulnerable ou compromised_website. Ceux-ci vont généralement contenir des balises qui reflètent des vulnérabilités CVE spécifiques, des fournisseurs ou produits affectés ou des informations à propos de backdoors, webshells ou implants observés. Un exemple pour http_vulnerable serait citrix ou cve-2023-3519.

Pour finir, comme nous ajoutons plus de détections à nos ensembles de données, nous nous retrouvons avec plus de balises. Ceci signifie que de nouvelles catégories de sources peuvent apparaître, à partir desquelles choisir. Par exemple, même si snmp est une balise présente sur la source scan, elle est également présentée comme une source. Ceci nous permet de présenter plus de résultats de balayage snmp détaillés permettant de visualiser des résultats de balayage snmp spécifiques associés à une vulnérabilité comme cve-2017-6736.

Liens rapides vers les catégories de données : barre de navigation gauche

Les ensembles de données présentés sont collectés via diverses méthodes de collection à grande échelle y compris le sinkholing, le balayage et les honeypots. Ces catégories principales d’ensembles de données sont partagées sur la barre de navigation gauche, avec chaque type de catégorie symbolisé par une icône différente.

L’objectif est d’activer plus rapidement des plongées dans des catégories de source particulières. Par exemple :

  • Sinkholes - fournit un aperçu des ensembles de données groupés par sinkhole de source. Vous pouvez ensuite visualiser un résultat de sinkhole particulier en sélectionnant une balise ou un groupe de balises.
  • Scans - fournit un aperçu des ensembles de données groupés par scan de source (cette catégorie contient les résultats de balayage des services qui présentent une sorte de problème de sécurité, vous pouvez également visualiser les résultats du balayage de population en sélectionnant la population de source à la place). Vous pouvez ensuite visualiser un résultat de balayage particulier en sélectionnant une balise ou un groupe de balises.
  • Honeypots - fournit un aperçu des ensembles de données groupés par honeypot de source. Vous pouvez ensuite visualiser un résultat de honeypot particulier en sélectionnant une balise ou un groupe de balises.
  • DDoS - fournit un aperçu des ensembles de données groupés par honeypot_ddos_amp de source. Il s’agit d’attaques DDoS par amplification observées par des cibles uniques dans un pays particulier ou une région particulière. Vous pouvez ensuite visualiser une méthode d’amplification particulière utilisée en sélectionnant une balise ou un groupe de balises.
  • ICS - fournit un aperçu des ensembles de données groupés par ics de source (qui sont des résultats de balayage de protocoles de systèmes de contrôle industriels natifs). Vous pouvez ensuite visualiser les protocoles natifs utilisés en sélectionnant une balise ou un groupe de balises.
  • Web CVEs -fournit un aperçu des ensembles de données groupés par http_vulnerable et exchange. Il s’agit d’applications Web vulnérables identifiées dans nos balayages généralement par CVE. Vous pouvez ensuite visualiser les CVE ou les produits affectés en sélectionnant une balise ou un groupe de balises.

Les ensembles de données peuvent être répartis par pays ou groupements de pays, régions et continents.

Chaque ensemble de données est également décrit dans « À propos de ces données ».

Veuillez noter qu’il y a davantage d’ensembles de données disponibles, autres que ceux mis en évidence. Par exemple, beacon de source va vous permettre d’explorer les C2 de structure de post-exploitation que nous observons dans nos balayages, et compromised_website de source va vous permettre d’explorer les points de terminaison Web compromis observés dans nos balayages.

Barre de navigation supérieure

La barre de navigation supérieure permet diverses options de visualisation pour la présentation des données, ainsi que la visualisation d’ensembles de données d’identification d’appareils et d’observation d’attaques.

Statistiques générales

Les statistiques générales incluent la capacité de visualiser toute source et balise en sélectionnant :

  • World map - un affichage de carte du monde montrant les sources et balises sélectionnées. PIBarmi les fonctions supplémentaires : possibilité de changer d’affichage pour montrer la balise la plus courante par pays par source, la normalisation par population, le PIB, les utilisateurs de connexion, etc. Vous pouvez également sélectionner des marqueurs sur la carte pour afficher les valeurs par pays.
  • Region map - un affichage de carte au niveau du pays avec les pays divisés en régions et provinces.
  • Comparison map - une carte de comparaison de deux pays.
  • Time series - un graphique montrant des combinaisons de sources et balises au fil du temps. À noter que ceci permet différentes formes de groupements de données (pas simplement par pays).
  • Visualization - offre diverses options d’exploration dans les ensembles de données, notamment des moyennes de valeurs au fil du temps. Ceci permet d’afficher des données sous la forme de tableaux, de graphiques à barres, de diagramme en bulles et plus encore.

Statistiques d’appareils IdO (statistiques d’identification d’appareils)

Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien de points de terminaison exposés groupés fournisseurs exposés et leurs produits identifiés à travers nos balayages. Les données sont classées par fournisseur, modèle et type d’appareil. Elles sont identifiées par différents moyens, notamment contenu de page Web, certificats SSL/TLS, bannières affichées, etc. Les ensembles de données contiennent des données de population uniquement, c.-à-d. il n’est procédé à aucune évaluation de toute vulnérabilité associée aux points de terminaison exposés (pour trouver ceux-ci, sélectionnez les sources telles que http_vulnerable sous la rubrique « Statistiques générales » à la place).

Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises, vous pouvez visualiser (et grouper par) les fournisseurs, modèles et types d’appareils à la place.

Statistiques d’attaque : vulnérabilités

Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien des attaques observées par notre réseau de capteurs honeypot, avec un accent sur les vulnérabilités utilisées pour l’exploitation. Cela englobe également la capacité de visualiser des produits qui sont plus fréquemment attaqués et d’étudier la manière dont ils sont attaqués (c.-à-d. par quelle vulnérabilité exploitée, ce qui peut inclure une CVE particulière exploitée).

Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises vous pouvez visualiser (et grouper par) le fournisseur, la vulnérabilité ainsi que la source et la destination des attaques.

Une catégorie de visualisation supplémentaire - surveillance, a été également ajoutée :

Il s’agit d’un tableau quotidiennement mis à jour des vulnérabilités exploitées les plus courantes groupées par IP de source unique observées attaquant (ou tentatives d’attaques observées, si vous sélectionnez l’option statistiques de tentatives de connexion). Les données proviennent de notre réseau de capteurs honeypot. Les données sont groupées par vulnérabilités exploitées. Ceci inclut également des mappages de vulnérabilités exploitées connues CISA (notamment si elle est connue comme étant exploitée par un groupe de ransomware) et si l’attaque est dirigée contre un appareil IdO plutôt qu’une application de serveur.

Par défaut, l’affichage montre les vulnérabilités exploitées les plus courantes dans le monde entier, mais vous pouvez filtrer par pays ou groupement particulier, ou afficher un tableau d’anomalies à la place.

Statistiques d’attaque : appareils

Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien des types d’appareils malveillants observés par notre réseau de capteurs honeypot. Le fingerprinting de ces appareils est effectué grâce à nos balayages quotidiens. Les ensembles de données permettent le suivi de types d’attaques particuliers, de fournisseurs ou de modèles d’appareils et peuvent être filtrés par pays.

Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises, vous pouvez visualiser (et grouper par) le type d’attaque, le fournisseur d’appareil ou le modèle.

Une catégorie de visualisation supplémentaire - surveillance, a été également ajoutée :

Il s’agit d’un tableau quotidiennement mis à jour des appareils malveillants les plus courants observés par IP de source unique observées attaquant (ou tentatives d’attaques observées, si vous sélectionnez l’option statistiques de tentatives de connexion). Comme dans tous les ensembles de données de cette catégorie, les données proviennent de notre réseau de capteurs honeypot. Les données sont groupées par type d’attaque observée, fournisseur et modèle (le cas échéant). Nous déterminons l’appareil malveillant en corrélant les IP observées avec les résultats de notre fingerprinting de balayage d’appareils quotidien (voir la section « Statistiques d’appareils IdO »).

Par défaut, l’affichage montre les appareils malveillants les plus courants (par source) observés attaquant (ceci inclut les cas où nous ne pouvons pas identifier un appareil par exemple, seulement identifier un fournisseur). Vous pouvez choisir de filtrer par pays ou groupement particulier, ou afficher un tableau d’anomalies à la place.

Le développement du tableau de bord Shadowserver a été financé par le FCDO du Royaume-Uni. Statistiques d’attaques de honeypots (pots de miel) et statistiques de processus de fingerprinting (prise d’empreintes numériques) d’appareils IdO co-financées par le Mécanisme pour l’interconnexion en Europe de l’Union européenne (Projet CEF VARIoT de l’UE).

Nous souhaiterions remercier tous nos partenaires qui ont généreusement contribué aux données utilisées dans le tableau de bord Shadowserver, y compris (alphabétiquement) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University et tous ceux qui ont choisi de demeurer anonymes.

Shadowserver utilise des cookies pour collecter des données analytiques. Ceci nous permet de mesurer la manière dont le site est utilisé et améliorer l’expérience de nos utilisateurs. Pour plus d’informations concernant les cookies et la manière dont Shadowserver les utilise, consultez notre politique de confidentialité. Nous avons besoin de votre consentement pour utiliser des cookies de cette façon sur votre appareil.