Анықтама

Жалпы анықтама

Бақылау тақтасына шолу

Shadowserver бақылау тақтасы Shadowserver 100-ден астам күнделікті есептердегі күнделікті әрекеттерінде жинайтын және бөлісетін негізгі деректер жинағын көрсететін жоғары деңгейлі статистиканы ұсынады. Деректер жинақтары осал шабуыл беттерін, осалдықтарды, конфигурация қателерін, желілік бұзылуларды және шабуылды бақылауларды анықтауға мүмкіндік береді. Есептер түрінде ұсынылған деректер белгілі бір желі немесе пайдаланушылар тобы туралы IP мекенжай деңгейінде толық ақпаратты қамтиды. Shadowserver бақылау тақтасы бұл мәліметтер деңгейіне мүмкіндік бермейді. Оның орнына ол сол әрекеттерді көрсететін жоғары деңгейлі статистиканы ұсынады. Бұл барлық мүдделі тараптардың анонимділігін сақтай отырып, кеңірек қауымдастыққа жағдайға шолуды қамтамасыз ете отырып, соңғы пайда болған қауіптер, осалдықтар, инциденттер туралы түсінік алуға мүмкіндік береді.

Дереккөздер және тегтер

Деректер көрсетілімі дереккөздер және тегтер айналасында ұйымдастырылады. Дереккөз негізінен қандай да бір пішіндегі деректерді топтастыру болып табылады. Негізгі деректер көздері: honeypot, population, scan, sinkhole. Популяция және сканерлеу көздері сканерлеу арқылы алынған деректер жинағы болып табылады, популяция осалдық немесе қауіпсіздікті бағалаусыз әсер етудің соңғы нүктелерінің саны болып табылады. 6 суффиксі IPv6 деректерін көрсетеді (суффиксі жоқ барлық жазба IPv4 деректеріне жатады).

Дереккөздерде ұсынылған деректер үшін қосымша мәтінмәнді қамтамасыз ететін олармен байланыстырылған тегтер болуы мүмкін. Мысалы, scan арналған тегтер нақты сканерлеу түрлерін қамтиды (мысалы, telnet, ftp және rdp сияқты сканерленген қызметтер/протоколдар). sinkhole арналған тегтер хакерлерге арналған тұзаққа қосылатын нақты зиянды бағдарламалар тобын көрсетеді (мысалы, adload, andromeda және necurs сияқты белгілі бір зиянды бағдарламалар тобымен жұқтырылған хосттар).

Тегтер ұсынылған деректер туралы қосымша түсінік береді.

Сонымен қатар біз осал немесе шабуылға ұшыраған хосттардағы бақылауларды жақсырақ көрсету үшін қосымша дереккөз топтарын енгіземіз, мысалы, http_vulnerable немесе compromised_website. Олар әдетте арнайы CVE осалдықтарын, әсер еткен жеткізушілерді немесе өнімдерді немесе көрінген бэкдорлар, веб-қабықтар немесе имплантаттар туралы ақпаратты көрсететін тегтерді қамтиды. http_vulnerable мысалы citrix немесе cve-2023-3519 болуы мүмкін.

Соңында, деректер жинағымызға жаңа анықтаулар қосылған сайын көбірек тегтер пайда болады. Бұл таңдау үшін дереккөздердің жаңа санаттары болуы мүмкін дегенді білдіреді. Мысалы, snmp scan дереккөзінде бар тег болса да, ол бөлек дереккөз ретінде де ұсынылған. Бұл бізге cve-2017-6736 сияқты осалдықпен байланысты арнайы SNMP сканерлеу нәтижелерін көруге мүмкіндік беретін түйіршікті SNMP сканерлеу нәтижелерін ұсынуға мүмкіндік береді.

Деректер санаттарына жылдам сілтемелер: Сол жақ шарлау жолағы

Ұсынылған деректер жинақтары әртүрлі ауқымды жинау әдістерін, соның ішінде Синкхолинг, сканерлеу және хакерлерге арналған тұзақтар арқылы жиналады. Деректер жинағының осы негізгі санаттары сол жақ шарлау жолағында ұсынылған, санаттың әрбір түрі басқа белгішемен таңбаланған.

Мақсат — белгілі бір дереккөз санаттарына жылдамырақ өтуге мүмкіндік беру. Мысалы:

  • Шабуыл жүйелеріне арналған тұзақтар — бастапқы sinkhole бойынша топтастырылған деректер жинағына шолуды қамтамасыз етеді. Содан кейін тегті немесе тегтер тобын таңдау арқылы белгілі бір хакерлерге арналған тұзақ нәтижесін көруге болады.
  • Сканерлеулер — scan көзі бойынша топтастырылған деректер жинағын шолуды қамтамасыз етеді (бұл санат олармен байланысты қауіпсіздік мәселелерінің қандай да бір түрі бар қызметтерді сканерлеу нәтижелерін қамтиды, сонымен қатар популяцияны сканерлеу нәтижелерін орнына population көзін таңдау арқылы көруге болады.). Содан кейін тегті немесе тегтер тобын таңдау арқылы нақты сканерлеу нәтижесін көруге болады.
  • Хакерлерге арналған тұзақтар — honeypot көзі бойынша топтастырылған деректер жинағына шолу жасайды. Содан кейін тегті немесе тегтер тобын таңдау арқылы хакерлерге арналған нақты тұзақ нәтижесін көруге болады.
  • DDoS — honeypot_ddos_amp көзі бойынша топтастырылған деректер жинағына шолу жасайды. Бұл белгілі бір елдегі/аймақтағы бірегей мақсаттармен көрінетін күшейту қолданылатын DDoS шабуылдары. Содан кейін тегті немесе тегтер тобын таңдау арқылы қолданылатын белгілі бір күшейту әдісін көруге болады.
  • ICS — бастапқы ics бойынша топтастырылған деректер жинағын шолуды қамтамасыз етеді (бұл жергілікті Өнеркәсіптік басқару жүйелері протоколдарының сканерлеу нәтижелері). Содан кейін тегті немесе тегтер тобын таңдау арқылы пайдаланылатын жергілікті протоколдарды көруге болады.
  • Web CVE осалдықтары — http_vulnerable және exchange тегтері астында топтастырылған деректер жинақтарына шолуды қамтамасыз етеді. Бұл сканерлеуімізде анықталған осалдықтары бар веб-қолданбалар, әдетте CVE арқылы анықталады. Тегті немесе тегтер тобын таңдау арқылы CVE немесе осалдыққа бейім өнімдерді көруге болады.

Деректер жинағын елдер немесе ел топтары, аймақтар және континенттер бойынша бөлуге болады.

Әрбір деректер жинағы "Осы деректер туралы ақпарат" бөлімінде де сипатталған.

Бөлектелгендерден басқа қолжетімді деректер жинағы бар екенін ескеріңіз. Мысалы, beacon көзі сканерлеуімізде көрінетін хакерлер пайдаланатын бағдарламалық құралдарды (C2) зерттеуге мүмкіндік береді және compromised_website көзі сканерлеулерімізде көрінетін интернет арқылы қолжетімді және шабуылға ұшыраған соңғы нүктелерді зерттеуге мүмкіндік береді.

Жоғарғы шарлау жолағы

Шарлау жолағының жоғарғы жағында сіз әртүрлі деректерді визуализациялау опцияларын және құрылғыны анықтау және шабуылдарды бақылау үшін құралдарды табасыз.

Жалпы статистика

Жалпы статистика кез келген көзді және тегті таңдау арқылы визуализациялау мүмкіндігін қамтиды:

  • Әлем картасы — таңдалған көздерді және тегтерді көрсететін әлем картасының көрінісі. Қосымша мүмкіндіктерге мыналар кіреді: әр елде ең көп тараған тегті көрсету үшін дисплейді ауыстыру мүмкіндігі, халық саны бойынша қалыпқа келтіру, ЖІӨ, пайдаланушыларды қосу және т.б. Әр елде мәндерді көрсету үшін картадан маркерлерді таңдауға болады.
  • Аймақ картасы — аймақтар мен провинцияларға бөлінген елдер бар ел деңгейіндегі карта көрінісі.
  • Салыстыру картасы — екі елдің салыстыру картасы.
  • Уақыт қатары — уақыт бойынша көз және тег комбинацияларын көрсететін диаграмма. Ол деректерді топтастырудың әртүрлі формаларына мүмкіндік беретінін ескеріңіз (ел бойынша ғана емес).
  • Визуализация — уақыт бойынша көрсеткіштердің орташа мәндерін қоса алғанда, деректер жинағын егжей-тегжейлі зерттеу мүмкіндігін береді. Деректерді кестелер, бағаналы диаграммалар, көпіршікті диаграммалар және т.б. түрінде көрсетуге мүмкіндік береді.

IoT құрылғысының статистикасы (құрылғыны анықтау статистикасы)

Бұл деректер жинағы және байланысты визуализациялар біздің сканерлеуіміз арқылы анықталған ашық өндірушілер мен олардың өнімдері бойынша топтастырылған ашық соңғы нүктелердің күнделікті суретін береді. Деректер өндіруші, үлгі және құрылғы түрі бойынша жіктеледі. Олар әртүрлі көздер арқылы анықталады, соның ішінде веб-бет мазмұны, SSL/TLS сертификаттары, баннер дисплейлері және т.б. Деректер жинағы тек жалпы деректерден тұрады, яғни ашық соңғы нүктелермен байланысты осалдықтар бағаланбайды (оларды табу үшін оның орнына "Жалпы статистика" астындағы http_vulnerable сияқты көздерді таңдаңыз).

"Жалпы статистикадағы" ұқсас визуализация диаграммалары бар, олардың айырмашылығы көздерді және тегтерді пайдаланудың орнына өндірушілерді модельдер мен құрылғы түрлерін көруге (және топтастыруға) болады.

Шабуыл статистикасы: Осалдықтар

Бұл деректер жинағы және соған байланысты графиктер пайдаланылатын осалдықтарға басты назар аудара отырып, біздің хакерлерге арналған тұзақ датчиктері желісі анықтаған шабуылдардың күнделікті шолуын береді. Мұнда сіз қай өнімдерге жиі шабуыл жасайтынын көре аласыз және оларға қалай шабуыл жасалатынын зерттей аласыз (мысалы, қандай осалдықтар, соның ішінде арнайы CVE осалдықтары пайдаланылады). Сондай-ақ диаграммаларды шабуыл көздері және олардың мақсаттары бойынша қарауға болады.

"Жалпы статистикадағы" ұқсас визуализация диаграммалары бар, олардың айырмашылығы көздерді және тегтерді пайдаланудың орнына өндірушіні осалдықты, дереккөзді және мақсатты орынды көруге (және топтастыруға) болады.

Қосымша визуализация санаты — мониторинг қосылды:

Бұл шабуылдарда көрінетін бірегей бастапқы IP мекенжайлары (немесе қосылу әрекеттерінің статистикасы опциясын таңдасаңыз, шабуыл әрекеттері) бойынша топтастырылған әрі жиі пайдаланылған осалдықтардың күнделікті жаңартылған кестесі. Деректер біздің хакерлерге арналған тұзақ датчиктерінің желісінен алынған. Деректер пайдаланылған осалдықтар бойынша топтастырылған. Ол сондай-ақ шабуылдарда белсенді түрде пайдаланылып жатқан хабарланған осалдықтар (соның ішінде оларды бопсалаушы бағдарламалық жасақтама тобы пайдаланды ма) және шабуылдың мақсаты IoT құрылғысы немесе сервер қолданбасы болып табылатындығы туралы ақпаратты қамтамасыз етеді.

Әдепкі бойынша, экран бүкіл әлем бойынша ең жиі пайдаланылатын осалдықтарды көрсетеді, бірақ деректерді ел немесе топ бойынша сүзгілеуге немесе аномалиялар кестесін көрсетуге болады.

Шабуыл статистикасы: Құрылғылар

Бұл деректер жинағы және онымен байланысты визуализациялар біздің хакерлерге арналған тұзақ датчиктерінің желісі анықтайтын шабуылдаушы құрылғылардың түрлері туралы күнделікті түсінік береді. Шабуылдаушы құрылғылардың сипаттамаларын жинау және талдау күнделікті сканерлеу арқылы жүзеге асырылады. Деректер жинақтары шабуылдардың нақты түрлерін, құрылғы өндірушілерін немесе үлгілерін қадағалауға мүмкіндік береді және ел бойынша сүзгілеуге болады.

"Жалпы статистикадағы" ұқсас диаграммалары бар, олардың айырмашылығы көздерді және тегтерді пайдаланудың орнына шабуыл түрін өндірушісі мен үлгісін көруге (және топтастыруға) болады.

Қосымша визуализация санаты — мониторинг қосылды:

Бұл шабуылдарда көрінетін бірегей бастапқы IP мекенжайлары (немесе қосылу әрекеттерінің статистикасы опциясын таңдасаңыз, шабуыл әрекеттері) арқылы анықталған шабуылға жиі ұшырайтын құрылғыларының күнделікті жаңартылған кестесі. Осы санатта көрсетілген барлық деректер жиыны сияқты, дереккөз біздің хакерлерге арналған тұзақ датчиктерінің желісі болып табылады. Ол шабуыл түрі, өндіруші және үлгісі (бар болса) бойынша топтастырылған. Біз күнделікті құрылғы сканерлеуінің нәтижелерімен көрінетін IP мекенжайларын корреляциялау арқылы шабуылдаушы құрылғыны анықтаймыз ("IoT құрылғысының статистикасы" бөлімін қараңыз).

Әдепкі бойынша дисплей шабуылдарда көрінетін ең көп таралған шабуыл құрылғыларын (дереккөз бойынша) көрсетеді (бұл құрылғыны анықтай алмайтын немесе, мысалы, өндірушіні ғана анықтай алатын жағдайларды қамтиды). Белгілі бір ел немесе топтау бойынша сүзгілеуді таңдай аласыз немесе оның орнына аномалиялар кестесін көрсете аласыз.

Shadowserver басқару панелін әзірлеуді Ұлыбританияның Сыртқы істер және ынтымақтастық кеңсесі (UK FCDO) қаржыландырды. IoT құрылғысының сипаттамаларын жинау және талдау статистикасын және хакерлерге арналған тұзаққа шабуыл статистикасын Еуропалық Одақтың байланыстыру қоры (EU CEF VARIoT жобасы аясында) бірлесіп қаржыландырды.

Shadowserver бақылау тақтасында пайдаланылған деректерге, соның ішінде (алфавит бойынша) APNIC қауымдастық арналары, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Йокогама ұлттық университеті ізгі үлес қосқан барлық серіктесімізге және анонимді қалуды таңдағандардың барлығына алғысымызды білдіреміз.

Shadowserver талдауларды жинау үшін cookie файлдарын пайдаланады. Бұл сайттың қалай пайдаланылғанын өлшеуге және пайдаланушыларымыздың тәжірибесін жақсартуға мүмкіндік береді. Cookie файлдары және Shadowserver оларды қалай пайдаланатыны туралы қосымша ақпарат алу үшін құпиялық саясатымызды қараңыз. Құрылғыңызда cookie файлдарын осы жолмен пайдалану үшін бізге келісіміңіз қажет.