Pomoć

Pomoć općenito

Pregled nadzorne ploče

Nadzorna ploča Shadowserver prikazuje statistike visoke razine koje reflektiraju glavne skupove podataka koje Shadowserver prikuplja i dijelu putem svojih dnevnih aktivnosti u više od 100 dnevnih izvještaja. Skupovi podataka omogućavaju prepoznavanje izloženu površinu napada, ranjivosti, nepravilne konfiguracije, ugrožavanja mreža te opažanja o napadima. Podaci koji se dijele u obliku izvještaja sadrže detaljne informacije o razini IP-a koji se odnose na određenu mrežu ili sastavnicu. Nadzorna ploča Shadowserver za ovo ne dopušta razinu zrnatosti. Umjesto toga ona prikazuje statistike visoke razine koje odražavaju ove aktivnosti. To omogućuje uvide u najnovije nastajuće prijetnje, ranjivosti, incidente koji široj zajednici pružaju svijest o situaciji, a da pritom štite anonimnost uključenih strana.

Izvori i oznake

Predstavljanje podataka organizirano je oko izvora i oznaka. Izvor je u osnovi neki oblik grupiranja podataka. Osnovni izvori su honeypot, population, scan, sinkhole. Populacija i sken skupovi su podataka koji se temelje na skeniranju gdje je populacija završna točka izloženosti bez sigurnosne procjene ranjivosti. Sufiks 6 predstavlja podatke IPv6 (svi unosi bez sufiksa odnose se na podatke IPv4).

Izvori koji imaju oznake koje su povezane s njima i daju dodatni kontekst za podatke koji se prezentiraju. Primjerice, oznaka za scan uključivat će stvarne različite vrste skena (odnosno usluge/protokole koji se skeniraju kao telnet, ftp i rdp). Oznake za sinkhole reflektiraju stvarne skupine zlonamjernih softvera koji se povezuju sa sinkholeom (odnosno glavna računala koja su zaražena skupinom zlonamjernog softvera kao što su adload, andromeda i necurs).

Oznake daju dodatne uvide u predstavljene podatke

Dodatno, uvodimo i dodatna grupiranja izvora da bi bolje odražavala objašnjenja i ranjivim ili kompromitiranim računalima, na primjer http_vulnerable ili compromised_website. Oni će obično sadržavati oznake koje reflektiraju ranjivosti CVE, pogođene dobavljače ili proizvode ili informacije o viđenim programima za neovlašten ulaz u sustav, web-ljuskama ili umetcima. Primjer za http_vulnerable bio bi citrix ili cve-2023-3519.

Na kraju, a budući da u naše komplete podataka dodajemo više otkrivanja, imamo i više oznaka. To znači da se može prikazati više kategorija među kojima se može birati. Primjerice, iako je snmpoznaka koja se nalazi na izvoru scan, pojavljuje se i kao izvor. To nam omogućava prikaz zrnatijih rezultata skeniranja koji omogućavaju za prikaz određenih rezultat skeniranja snmp s ranjivosti kao što je: cve-2017-6736.

Brze poveznice na kategorije podataka: Lijeva navigacijska traka

Predstavljeni skupovi podataka prikupljaju se raznim metodama opsežnog prikupljanja koje uključuju sinkholing, skeniranje i medene rupe. Za glavne kategorije skupova podataka dijele se na lijevoj navigacijskoj traci. a svaku vrstu kategorije simbolizira druga ikona.

Cilj je omogućiti brži iz posebne kategorije izvora Na primjer:

  • Sinkholi – daju pregled skupova podataka grupiranih prema izvoru sinkhole. Rezultat određenog sinkohola možete prikazati odabirom oznake ili skupine oznaka.
  • Skenovi – daju pregled skupova podataka grupiranih prema izvoru scan (ova kategorija sadrži rezultate skeniranja za usluge koje imaju neku vrstu sigurnosnog problema koji je povezan s njom, a možete prikazati i rezultate skeniranja populacije tako da umjesto toga odaberete izvor population). Rezultat određenog skeniranja možete prikazati odabirom oznake ili skupine oznaka.
  • Medena rupe – daju pregled skupova podataka grupiranih prema izvoru honeypot. Rezultat određene medene rupe možete prikazati odabirom oznake ili skupine oznaka.
  • DDoS – daju pregled skupova podataka grupiranih prema izvoru honeypot_ddos_amp. To su napadi amplifikacijom DDoS-a koje vidi jedinstveni cilj u određenoj državi/regiji. Određenu upotrijebljenu metodu amplifikacije možete prikazati odabirom oznake ili skupine oznaka.
  • ICS – daju pregled skupova podataka grupiranih prema izvoru ics (koje su rezultati skeniranja nativnih protokola industrijskog kontrolnog sustava). Upotrijebljeni nativni protokol možete prikazati odabirom oznake ili skupine oznaka.
  • Web CVEs – daju pregled skupova podataka grupiranih prema http_vulnerable i exchange. Ranjive web-aplikacije u našim skeniranjima obično prepoznaje CVE. CVE ili pogođene protokole možete prikazati odabirom oznake ili skupine oznaka.

Ti skupovi podataka raspoređeni su državama ili skupinama država, regijama i kontinentima.

Svaki skup podataka opisan je i u dijelu „O ovim podacima”.

Napominjemo da je osim ovih istaknutih podataka dostupno još skupova podataka. Primjerice, izvor beacon omogućit će vam da istražite posteksploatacijski okvir C2s koji vidimo u našim skeniranjima, a izvorcompromised_website omogućit će vam istraživanje kompromitiranih završnih točaka weba koje vidimo u našim skeniranjima.

Gornja navigacijska traka

Gornja navigacijska traka omogućava razne opcije vizualizacije prezentacije podataka kao i vizualizaciju prepoznavanja uređaja i skupove podataka s opažanjima napada.

Općenita statistika

Općenita statistika uključuje mogućnost vizualizacije bilo kojeg izvora i oznake tako da odaberete:

  • Karta svijeta – zaslon karta svijeta prikazuje odabrane izvore i oznake. Dodatne značajke uključuju: mogućnost prebacivanja prikaza na najčešće oznake po državi prema izvoru, normalizaciju prema populaciji, BDP, povezivanje korisnika itd. Na karti možete odabrati markere tako da prikazuju vrijednosti prema državi.
  • Karta regije – zaslon s kartama zemlje s državama podijeljenima na regije i provincije.
  • Karta usporedbe – karta usporedbe dviju država.
  • Vremenske serije – grafikon koji prikazuje kombinacije izvora i oznake tijekom vremena. Napominjemo da dopušta različite oblike grupiranja podataka (ne samo po državi).
  • Vizualizacija – oruža razne mogućnosti dubinskog uvida u skupove podataka uključujući i prosječne vrijednosti tijekom vremena. Omogućuje prikaz podataka u obliku tablica, stupčastih grafikona, mjehurićastih grafikona i više toga.

Statistika uređaja interneta stvari (statistika prepoznavanja uređaja)

Ovaj skup podataka i pripadajuća vizualizacija daju dnevni uvid u izložene krajnje točke grupirane prema dobavljačima i njihovim proizvodima prepoznatima kroz skeniranja. Podaci se kategoriziraju prema dobavljaču, modelu i tipu uređaja. Oni se prepoznaju na razne načine uključujući sadržaj web-mjesta, certifikate SSL/TLS, prikazane banere itd. Skupovi podataka sadrže podatke populacije, odnosno nema procjene nijedne ranjivosti povezane s izloženim krajnjim točkama (da biste ih pronašli umjesto toga odaberite izvore kao na primjer http_vulnerable u dijelu „Općenita statistika”).

Postoji i slična vizualizacija kao i dijelu „Općenita statistika”, u kojoj umjesto da upotrijebite izvori i oznake možete prikazati (i grupirati prema tome) i dobavljači, modeli i vrste uređaja

Statistike napada: Ranjivosti

Ovaj skup podataka i pripadajuća vizualizacija daju dnevni uvid u napade koje vidi naša mreža senzora medene rupe s fokusom na ranjivosti koje se upotrebljavaju za eksploataciju. To uključuje mogućnost prikaza proizvoda koje se najčešće napada i istraživanja načina na koji ih se napada (odnosno koja je ranjivost iskorištena, a koje može uključivati da se iskorištava određeni CVE). Grafikone možete prikazati prema izvoru napada i odredištima.

Postoji i slična vizualizacija kao i dijelu „Općenita statistika”, u kojoj umjesto da upotrijebite izvori i oznake možete prikazati (i grupirati prema tome) i dobavljač, ranjivost kao i izvor i odredište napada.

Dodana je i dodatna kategorija vizualizacije – Praćenje:

Ovo je ažurirana dnevna tablica najčešće iskorištenih ranjivosti grupiranih prema jedinstvenom IP izvora primijećenog napada (ili pokušaja napada ako odaberete opciju statistike pokušaja povezivanja). Podaci se dobivaju s naše mreže senzora medene rupe. Podaci se grupiraju prema iskorištenim ranjivostima. Uključuju i mapiranja Poznatih iskorištenih ranjivosti agencije CISA (uključujući i to je li poznati da je iskorištavala grupa ucjenjivačkog softvera) kao i je li napada bio na uređaj interneta stvari, a ne na aplikaciju poslužitelja.

Zaslon, prema zadanim postavkama, prikazuje najčešće iskorištene ranjivosti diljem svijeta, no možete ih i filtrirati prema određenoj državi ili grupirati ili umjesto toga prikazati tablicu anomalija.

Statistike napada: Uređaji

Ovaj skup podataka i pripadajuća vizualizacija daju dnevni uvid vrsta uređaja koji napadaju, a koje vidi naša mreža senzora medene rupe. Prepoznavanje tih uređaja obavlja se kroz naša svakodnevna skeniranja. Skupovi podataka omogućavaju praćenje različitih vrsta napada, dobavljača uređaja ili modela koji se mogu filtrirati prema državama.

Postoji i sličan grafikon kao i u dijelu „Općenita statistika”, u kojoj umjesto da upotrijebite izvori i oznake možete prikazati (i grupirati prema tome) i tip, dobavljač ili model.

Dodana je i dodatna kategorija vizualizacije – praćenje:

Ovo je ažurirana dnevna tablica najčešćih uređaja koji napadaju koji se vide prema jedinstvenom IP izvora primijećenog napada (ili pokušaja napada ako odaberete opciju statistike pokušaja povezivanja). Kao i svi podaci koji se prikazuju u ovoj kategoriji i oni se dobivaju iz naše mreže senzora medene rupe. Grupiraju se prema viđenom tipu napada, dobavljaču i modelu (ako je dostupno). Uređaj koji napada utvrđujemo povezivanjem viđenog IP-a s rezultatima našeg dnevne identifikacije skeniranja uređaja (pogledajte dio „Statistika uređaja interneta stvari”).

Na zaslonu se, prema zadanim postavkama, prikazuju najčešći uređaji za koje primijećeno da napadaju (prema izvoru) (ovo uključuje i slučajeve u kojima ne možemo identificirati uređaj ili, na primjer, samo se dobavljač može se identificirati). Umjesto toga, možete odabrati filtriranje prema određenoj državi ili grupiranje ili prikaz tablice anomalija.

Razvoj Nadzorne ploče Shadowserver financirao je UK FCDO. Statistike prepoznavanja uređaja interneta stvari i statistike napada medenih rupa sufinancirao je fond Connecting Europe Facility Europske unije (EU CEF VARIoT project).

Željeli bismo zahvaliti svim našim partnerima koji su pridonijeli podacima koji se upotrebljavaju na Nadzornoj ploči Shadowserver, uključujući (abecednim redom) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University i svima onima koji su odlučili ostati anonimni.

Shadowserver upotrebljava kolačiće za prikupljanje analitike. To nam omogućava mjerenje načina upotrebe stranice i poboljšanje iskustva našim korisnicima. Više informacija o kolačićima i načinu na koji ih Shadowserver upotrebljava pogledajte u našim privacy policy. Potreban nam je vaš pristanak za upotrebu kolačića na ovaj način na vašem uređaju.