도움말

일반 도움말

대시보드 개요

Shadowserver Dashboard는 Shadowserver가 100개가 넘는 일일 보고서에서 모든 일일 활동을 수집하고 공유하는 주 데이터세트를 반영하는 고급 통계 정보를 제공합니다. 데이터세트를 통해 노출된 공격 표면, 취약점, 잘못된 구성, 네트워크 손상은 물론 공격 관찰 정보까지 식별할 수 있습니다. 보고서 형태로 공유되는 데이터에는 특정 네트워크 또는 구성(constituency)과 관련된 세부적인 IP 수준 정보가 포함됩니다. Shadowserver Dashboard는 이 정도의 세분화 수준을 지원하지 않습니다. 대신 이러한 활동을 반영하는 고급 통계 정보를 제공합니다. 결과적으로 최신 위협, 취약점, 사건에 대한 정보로 관련 당사자의 익명성은 유지하면서 보다 광범위한 커뮤니티에 상황 인식을 제공할 수 있습니다.

소스 및 태그

데이터 표시는 sourcestags에 따라 구성됩니다. 소스는 기본적으로 일정 형태의 데이터 그룹입니다. 기본 소스는 honeypot, population, scan, sinkhole입니다. population과 scan 모두 스캔을 기반으로 하며 population이 취약점/보안 평가가 없는 노출 엔드포인트 카운트가 됩니다. 접미어 6은 IPv6 데이터를 나타냅니다(이 접미어가 없는 모든 항목은 IPv4 데이터를 나타냄).

소스는 제공되는 데이터에 대한 추가 컨텍스트를 제공하는 관련 태그가 있습니다. 예를 들어 scan 태그에는 다양한 실제 스캔 유형이 포함됩니다(즉 서비스/프로토콜은 telnet, ftprdp로 스캔). sinkhole 태그는 싱크홀에 연결되는 실제 멀웨어 제품군을 반영합니다(즉 adload, andromedanecurs와 같은 멀웨어 제품군 유형으로 감염된 호스트).

태그는 제공된 데이터에 대한 추가 정보를 제공합니다.

또한 취약하거나 손상된 호스트에 대한 관찰 정보를 더 잘 반영하기 위한 추가 소스 그룹을 제공합니다(예: http_vulnerable 또는 compromised_website). 여기에는 일반적으로 영향을 받은 특정 CVE 취약점, 벤더 또는 제품 또는 확인된 백도어, 웹셸 또는 임플란트에 대한 정보를 반영하는 태그가 포함됩니다. http_vulnerable의 예로는 citrix 또는 cve-2023-3519를 들 수 있습니다.

마지막으로 데이터세트에 탐지 데이터가 추가될수록 태그도 증가합니다. 이는 선택할 수 있는 새 소스 카테고리가 나타날 수 있음을 의미합니다. 예를 들어 snmp는 소스 scan에 제공되는 태그이지만 소스 기능도 있습니다. 따라서 cve-2017-6736과 같이 취약점과 연관된 특정 snmp 스캔 결과를 볼 수 있는 보다 세분화된 snmp 스캔 결과를 제공할 수 있습니다.

데이터 카테고리 빠른 링크: 왼쪽 탐색 표시줄

제공되는 데이터세트는 싱크홀링, 스캔, 허니팟과 같은 다양한 대규모 수집 모드를 통해 수집합니다. 데이터세트의 이러한 기본 카테고리는 왼쪽 탐색 표시줄에서 공유되며 각 카테고리 유형은 다른 아이콘으로 표시됩니다.

목적은 특정 소스 카테고리를 빠르게 분석하기 위한 것입니다. 예를 들어 다음과 같습니다.

  • 싱크홀 - sinkhole 소스로 그룹화된 데이터세트의 개요를 제공합니다. 태그 또는 태그 그룹을 선택하여 특정 싱크홀 결과를 볼 수 있습니다.
  • 스캔 - scan 소스로 그룹화된 데이터세트의 개요를 제공합니다. (이 카테고리에는 연관된 유형의 보안 문제가 있는 서비스에 대한 스캔 결과가 포함되며 대신 population 소스를 선택하여 모집단 스캔 결과를 볼 수도 있습니다.) 태그 또는 태그 그룹을 선택하여 특정 스캔 결과를 볼 수 있습니다.
  • 허니팟 - honeypot 소스로 그룹화된 데이터세트의 개요를 제공합니다. 태그 또는 태그 그룹을 선택하여 특정 허니팟 결과를 볼 수 있습니다.
  • DDoS - honeypot_ddos_amp 소스로 그룹화된 데이터세트의 개요를 제공합니다. 특정 국가/지역에서 고유 태그로 확인된 증폭 DDoS 공격입니다. 태그 또는 태그 그룹을 선택하여 특정 증폭 방법을 볼 수 있습니다.
  • ICS - ics 소스로 그룹화된 데이터세트(기본 산업용 제어 시스템의 스캔 결과)의 개요를 제공합니다. 태그 또는 태그 그룹을 선택하여 기본 프로토콜을 볼 수 있습니다.
  • 웹 CVE - http_vulnerableexchange로 그룹화된 데이터세트의 개요를 제공합니다. 일반적으로 스캔 결과에서 CVE로 식별된 취약한 웹 애플리케이션입니다. 태그 또는 태그 그룹을 선택하여 CVE 또는 영향 받은 제품을 볼 수 있습니다.

데이터세트는 국가 또는 국가 그룹, 지역 및 대륙별로 분류될 수 있습니다.

각 데이터세트에 대한 설명은 “데이터 정보”에서도 확인할 수 있습니다.

강조 표시된 것 이외에도 더 많은 데이터세트가 있습니다. 예를 들어 beacon 소스를 사용하면 스캔 결과에 나타나는 익스플로잇 이후 프레임워크 C2를 탐색할 수 있고 compromised_website 소스를 사용하면 스캔 결과에 나타나는 손상된 웹 엔드포인트를 탐색할 수 있습니다.

상단 탐색 표시줄

상단 탐색 표시줄은 데이터 표시를 위한 다양한 시각화 옵션뿐만 아니라 디바이스 식별 및 공격 관찰 데이터세트에 대한 시각화 정보를 제공합니다.

일반 통계

일반 통계에는 소스태그를 시각화하기 위한 기능이 포함되며 선택 항목은 다음과 같습니다.

  • 세계 지도 - 선택한 소스태그를 보여주는 세계 지도 디스플레이입니다. 추가 기능으로 국가 및 소스별 가장 일반적인 태그, 모집단, GDP, 연결 사용자별 정규화 등을 보여주기 위한 디스플레이 전환 기능이 있습니다. 지도상의 마커를 선택하여 국가별 값을 표시할 수도 있습니다.
  • 지역 지도 - 국가 수준 지도 디스플레이로, 국가가 지역과 지방으로 분할되어 나타납니다.
  • 비교 지도 - 두 국가를 비교하여 보여주는 지도입니다.
  • 시계열 - 시간 경과에 따른 소스태그의 조합을 보여주는 차트입니다. (국가별 뿐만 아니라) 다양한 형태의 데이터 그룹을 보여줍니다.
  • 시각화 - 시간 경과에 따른 값 평균을 포함하여 다양한 데이터세트 분석 옵션을 제공합니다. 데이터를 테이블, 막대 차트, 버블 다이어그램 등의 형태로 표시할 수 있습니다.

IoT 디바이스 통계(디바이스 식별 통계)

이 데이터세트 및 관련 시각화는 노출된 엔드포인트의 일일 스냅샷을 노출된 벤더 및 스캔을 통해 식별된 해당 벤더의 제품별로 그룹화하여 제공합니다. 데이터는 벤더, 모델 및 디바이스 유형별로 분류되며 웹 페이지 컨텐츠, SSL/TLS 인증서, 표시된 배너 등 다양한 수단으로 식별됩니다. 데이터세트에는 모집단 데이터만 포함됩니다. 즉 노출된 엔드포인트와 연관된 취약점에 대한 평가는 제공되지 않습니다. 이 정보를 찾으려면 “일반 통계” 아래에서 http_vulnerable과 같은 소스를 선택하면 됩니다.

“일반 통계”와 유사한 시각화 차트로, 차이점은 소스태그를 사용하는 대신 벤더, 모델디바이스 유형별로 보고 그룹화할 수 있다는 것입니다.

공격 통계: 취약점

이 데이터세트 및 관련 시각화는 익스플로잇에 사용된 취약점에 초점을 맞춰 허니팟 센서 네트워크에서 확인된 공격의 일일 스냅샷을 제공합니다. 여기에는 가장 자주 공격을 받는 제품을 볼 수 있는 기능과 공격 방식을 탐색할 수 있는 기능이 포함됩니다(예를 들어 악용당한 특정 CVE와 같이 악용된 취약점별로). 공격과 대상의 소스별로 차트를 볼 수도 있습니다.

“일반 통계”와 유사한 시각화 차트로, 차이점은 소스태그를 사용하는 대신 벤더, 취약점은 물론 공격의 소스대상별로 보고 그룹화할 수 있다는 것입니다.

추가 시각화 카테고리 - 모니터링 또한 추가되었습니다.

가장 많이 악용된 취약점을 고유 소스 IP로 관찰된 공격(또는 연결 시도 통계 옵션을 선택하는 경우 확인된 공격 시도)별로 그룹화하여 보여주는 최신 일간 테이블입니다. 데이터 소스는 허니팟 센서 네트워크입니다. 데이터는 악용된 취약점볼려 그룹화됩니다. CISA 알려진 악용 취약점(Known Exploited Vulnerability) 매핑(랜섬웨어 그룹의 악용 대상으로 알려져 있는지 여부 포함)은 물론 공격 대상이 서버 애플리케이션이 아닌 IoT 디바이스인지 여부도 포함됩니다.

기본적으로 이 디스플레이는 전 세계적으로 가장 많이 악용되는 취약점을 보여줄 뿐만 아니라 특정 국가 또는 그룹별로 필터링하거나 이상 테이블을 표시할 수도 있습니다.

공격 통계: 디바이스

이 데이터세트 및 관련 시각화는 허니팟 센서 네트워크에서 확인된 공격 디바이스 유형의 일일 스냅샷을 제공합니다. 이러한 디바이스에 대한 핑거프린팅은 일일 스캔을 통해 수행됩니다. 이 데이터세트로는 특정 공격 유형, 디바이스 벤더 또는 모델을 추적할 수 있으며 국가별 필터링이 가능합니다.

“일반 통계”와 유사한 시각화 차트로, 차이점은 소스태그를 사용하는 대신 유형, 디바이스 벤더 또는 모델별로 보고 그룹화할 수 있다는 것입니다.

추가 시각화 카테고리 - 모니터링 또한 추가되었습니다.

가장 일반적인 공격 디바이스를 고유 소스 IP로 관찰된 공격(또는 연결 시도 통계 옵션을 선택하는 경우 확인된 공격 시도)별로 보여주는 최신 일간 테이블입니다. 이 카테고리에 표시되는 모든 데이터세트와 마찬가지로 허니팟 센서 네트워크가 그 소스이며 확인된 공격 유형, 벤더 및 모델(해당되는 경우)별로 그룹화됩니다. 일일 디바이스 스캔 핑거프린팅 결과로 확인된 IP를 상관시켜 공격 디바이스를 판별합니다(“IoT 디바이스 통계” 섹션 참조).

기본적으로 이 디스플레이는 공격이 확인된 가장 일반적인 공격 디바이스를 소스별로 보여줍니다. 디바이스를 식별할 수 없거나 벤더만 식별할 수 있는 경우를 예로 들 수 있습니다. 특정 국가 또는 그룹으로 필터링하거나 대신 이상 테이블을 표시하도록 선택할 수 있습니다.

Shadowserver Dashboard는 UK FCDO의 후원을 받아 개발되었습니다. IoT 디바이스 핑거프린팅 통계와 허니팟 공격 통계는 EU 유럽 연결 프로그램(CEF: Connecting Europe Facility)(EU CEF VARIoT 프로젝트)의 공동 자금 지원을 받았습니다.

Shadowserver Dashboard에서 사용되는 데이터 제공에 협조해 주신 모든 파트너(알파벳순: APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University)와 익명을 희망한 모든 분들께 감사드립니다.

Shadowserver는 쿠키를 사용하여 분석 정보를 수집하며 이를 통해 사이트 사용 현황을 측정하고 사용자 경험을 향상시킬 수 있습니다. 쿠키 및 Shadowserver의 쿠키 사용에 대한 자세한 내용은 당사 개인 정보 보호 정책을 참조하십시오. 귀하의 디바이스에 이러한 방식으로 쿠키를 사용하려면 귀하의 동의가 필요합니다.