Palīdzība

Vispārīga palīdzība

Vadības paneļa pārskats

Shadowserver vadības panelī ir sniegta augsta līmeņa statistika, kas atspoguļo galvenās datu kopas, kuras Shadowserver apkopo un ar kurām dalās, veicot ikdienas darbības vairāk nekā 100 ikdienas ziņojumos. Datu kopas ļauj identificēt atklāto uzbrukumu tvērumu, ievainojamības, kļūdainas konfigurācijas, tīklu kompromitēšanu, kā arī uzbrukumu novērojumus. Dati, kas tiek kopīgoti ziņojumu veidā, satur detalizētu IP līmeņa informāciju par konkrētu tīklu vai apgabalu. Shadowserver vadības panelis nenodrošina šādu detalizācijas pakāpi. Tā vietā tajā tiek sniegta augsta līmeņa statistika, kas atspoguļo šīs darbības. Tas ļauj gūt ieskatu jaunākajos draudos, ievainojamībās un incidentos, sniedzot izpratni par situāciju plašākai sabiedrībai, vienlaikus saglabājot iesaistīto pušu anonimitāti.

Avoti un tagi

Dati tiek atspoguļoti, izmantojot avotus un tagus. Avots būtībā ir noteikta veida datu grupējums. Pamata avoti ir šādi: honeypot, population, scan, sinkhole. Gan populācija, gan skenējums ir uz skenēšanu balstītas datu kopas, un populācija ir atklātu galapunktu skaits bez ievainojamību/drošības novērtējuma. Sufikss 6 apzīmē IPv6 datus (visi ieraksti bez sufiksa attiecas uz IPv4 datiem).

Avotiem var būt piesaistīti tagi, kas uzrādītajiem datiem sniedz papildu kontekstu. Piemēram, tagos scan būs norādīti dažādi skenējumu veidi (t. i., skenētie pakalpojumi/protokoli, piemēram, telnet, ftp un rdp). Tagos sinkhole tiks atspoguļotas faktiskās ļaunatūras saimes, kas savienojas ar kriteni (sinkhole) (t. i., resursdatori, kas inficēti ar ļaunatūras saimes tipu, piemēram, adload, andromeda un necurs).

Tagi sniedz papildu ieskatu uzrādītajos datos.

Turklāt mēs ieviešam arī papildu avotu grupēšanu, lai labāk atspoguļotu neaizsargātu vai kompromitētu resursdatoru novērojumus, piemēram, http_vulnerable vai compromised_website. Šajos grupējumos parasti ir tagi, kas atspoguļo konkrētas CVE ievainojamības, ietekmētos ražotājus, produktus vai informāciju par novērotajamām aizmugures durvīm (backdoor), tīmekļa čaulām vai implantiem (implants). Piemērs http_vulnerable varētu būt citrix vai cve-2023-3519.

Visbeidzot, pievienojot mūsu datu kopām vairāk detektorus, mēs iegūstam vairāk tagu. Tas nozīmē, ka var parādīties jaunas avotu kategorijas, no kurām var izvēlēties. Piemēram, lai gan snmp ir avota scan tags, tas tiek parādīts arī kā avots. Tas ļauj mums sniegt detalizētākus snmp skenēšanas rezultātus, kas ļauj apskatīt konkrētus snmp skenējumu rezultātus, kas saistīti ar tādu ievainojamību kā, piemēram, cve-2017-6736.

Ātrās saites uz datu kategorijām: Kreisā navigācijas josla

Uzrādītās datu kopas ir apkopotas, izmantojot dažāda liela mēroga datu vākšanas metodes, tostarp kritenes (sinkholing), skenēšanu un urķuslazdus (honeypots). Šīs galvenās datu kopu kategorijas ir pieejamas kreisajā navigācijas joslā, un katru kategorijas veidu simbolizē atšķirīga ikona.

Mērķis ir ļaut ātrāk iedziļināties konkrētās avotu kategorijās. Piemēram:

  • Kritenes (sinkholes) – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota sinkhole. Pēc tam varat apskatīt konkrētas kritenes rezultātu, izvēloties tagu vai tagu grupu.
  • Skenējumi – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota scan (šajā kategorijā ir to pakalpojumu skenējumu rezultāti, ar kuriem ir saistīta kāda drošības problēma, tā vietā varat skatīt arī populācijas skenējumu rezultātus, izvēloties avotu population). Pēc tam varat apskatīt konkrētu skenējuma rezultātu, izvēloties tagu vai tagu grupu.
  • Urķuslazdi (Honeypots) – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota honeypot. Pēc tam varat apskatīt konkrētu urķuslazda (honeypot) rezultātu, izvēloties tagu vai tagu grupu.
  • DDoS – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota honeypot_ddos_amp. Tie ir pastiprināti DDoS (pakalpojumatteices) uzbrukumi, kas novēroti unikāliem mērķiem konkrētā valstī/reģionā. Pēc tam varat apskatīt konkrētu izmantoto pastiprināšanas metodi, izvēloties tagu vai tagu grupu.
  • ICS – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota ics (kas ir vietējo rūpniecisko vadības sistēmu (ICS) protokolu skenējumu rezultāti). Pēc tam var apskatīt izmantotos vietējos protokolus, izvēloties tagu vai tagu grupu.
  • Web CVE – sniedz pārskatu par datu kopām, kas sagrupētas pēc http_vulnerable un exchange. Tās ir neaizsargātas tīmekļa lietojumprogrammas, kas identificētas mūsu skenējumu laikā, parasti pēc CVE. Jūs varat apskatīt CVE vai ietekmētos produktus, izvēloties tagu vai tagu grupu.

Datu kopas var sadalīt pa valstīm vai valstu grupām, reģioniem un kontinentiem.

Katra datu kopa ir aprakstīta arī sadaļā “Par šiem datiem”.

Lūdzu, ņemiet vērā, ka ir pieejamas arī citas datu kopas, kas nav iepriekš norādītās. Piemēram, avots beacon ļaus jums izpētīt mūsu skenējumos redzamos pēcekspluatācijas satvaru C2, bet avots compromised_website ļaus jums izpētīt mūsu skenējumos redzamos kompromitētos tīmekļa galapunktus.

Augšējā navigācijas josla

Augšējā navigācijas josla ļauj izmantot dažādas datu attēlošanas un vizualizācijas opcijas, kā arī ierīču identifikācijas un uzbrukumu novērošanas datu kopu vizualizāciju.

Vispārējā statistika

Vispārējā statistika ietver iespēju vizualizēt jebkuru avotu un tagu, izvēloties:

  • Pasaules karte – pasaules kartes attēlojums, kurā redzami atlasītie avoti un tagi Papildu funkcijas ietver: iespēju pārslēgt attēlojumu, lai parādītu visizplatītāko tagu katrā valstī katram avotam, normalizāciju pēc populācijas, IKP, savienotajiem lietotājiem utt. Kartē var arī izvēlēties marķierus, lai parādītu vērtības katrai valstij.
  • Reģionu karte – valsts līmeņa karte, kurā valstis sadalītas reģionos un provincēs.
  • Salīdzinājuma karte – divu valstu salīdzinājuma karte.
  • Laikrinda – diagramma, kurā parādītas avotu un tagu kombinācijas laika gaitā. Ņemiet vērā, ka tas ļauj datus grupēt dažādos veidos (ne tikai pēc valstīm).
  • Vizualizācija – piedāvā dažādas datu kopu padziļinātas izpētes iespējas, tostarp vidējās vērtības laika gaitā. Tās ļauj datus attēlot tabulās, joslu diagrammās, burbuļu diagrammās un citos veidos.

IoT ierīču statistika (ierīču identifikācijas statistika)

Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par atklātajām gala iekārtām, kas sagrupētas pēc atklātajiem ražotājiem un to produktiem, kuri identificēti, veicot skenēšanu. Dati ir iedalīti kategorijās pēc ražotāja, modeļa un ierīces tipa. Tās tiek identificētas, izmantojot dažādus līdzekļus, tostarp tīmekļa vietnes saturu, SSL/TLS sertifikātus, parādītos banerus u. c. Datu kopas satur tikai populācijas datus, t. i., nav novērtētas ar atklātajiem galapunktiem saistītās ievainojamības (lai tās atrastu, izvēlieties avotus, piemēram, http_vulnerable sadaļā “Vispārīgā statistika”).

Pastāv līdzīgas vizualizācijas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc ražotājiem, modeļiem un ierīču tipiem.

Uzbrukuma statistika: Ievainojamības

Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par uzbrukumiem, kas novēroti mūsu urķuslazdu sensoru tīklā, galveno uzmanību pievēršot ekspluatācijā izmantotajām ievainojamībām. Tās ietver iespēju apskatīt produktus, kuriem visbiežāk tiek uzbrukts, un izpētīt, kā tiem tiek uzbrukts (t. i., ar kādu ekspluatēto ievainojamību, kas var ietvert konkrētu ekspluatēto CVE). Varat arī skatīt diagrammas pēc uzbrukumu avota un galamērķiem.

Pastāv līdzīgas vizualizācijas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc ražotājiem, ievainojamībām, kā arī uzbrukumu avotiem un galamērķiem.

Ir pievienota arī papildu vizualizācijas kategorija – Monitorings:

Tā ir katru dienu atjaunināta tabula ar visbiežāk izmantotajām ievainojamībām, kas grupētas pēc novērotajām unikālām uzbrukumu avotu IP adresēm (vai novērotajiem uzbrukumu mēģinājumiem, ja izvēlaties opciju skatīt savienojuma mēģinājumu statistiku). Dati tiek iegūti no mūsu urķuslazdu (honeypot) sensoru tīkla. Dati ir sagrupēti pēc izmantotajām ievainojamībām. Tajos ietverti arī CISA Known Exploited Vulnerability kartējumi (tostarp informācija par to, vai ir zināms, ka šo ievainojamību izmanto izspiedējvīrusu grupa), kā arī tas, vai uzbrukums ir vērsts pret IoT ierīci, nevis servera lietojumprogrammu.

Pēc noklusējuma displejā tiek parādītas visbiežāk izmantotās ievainojamības visā pasaulē, taču varat arī filtrēt pēc konkrētas valsts vai grupas vai tā vietā parādīt anomāliju tabulu.

Uzbrukumu statistika: Ierīces

Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par to, kādus uzbrūkošo ierīču veidus novēro mūsu urķuslazdu (honeypot) sensoru tīkls. Šo ierīču ciparnospiedumi tiek noņemti, izmantojot mūsu ikdienas skenēšanu. Datu kopas ļauj izsekot konkrētiem uzbrukumu veidiem, ierīču ražotājiem vai modeļiem, un tās var filtrēt pēc valsts.

Pastāv līdzīgas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc uzbrukuma veidiem, kā arī ierīču ražotājiem un modeļiem.

Ir pievienota arī papildu vizualizācijas kategorija – monitorings:

Tā ir katru dienu atjaunināta tabula ar ierīcēm, kas visbiežāk novērotas kā uzbrucējas, pēc novērotajām unikālām uzbrukuma avota IP adresēm (vai novērotajiem uzbrukumu mēģinājumiem, ja izvēlaties opciju skatīt savienojuma mēģinājumu statistiku). Tāpat kā visas šajā kategorijā attēlotās datu kopas, arī šīs datu kopas ir iegūtas no mūsu urķuslazdu (honeypot) sensoru tīkla. Dati ir sagrupēti pēc novērotā uzbrukuma veida, ražotāja un modeļa (ja pieejams). Mēs nosakām uzbrūkošo ierīci, sasaistot novērotās IP adreses ar mūsu ikdienas ierīču skenējumos noteiktajiem ciparnospiedumiem (sk. sadaļu “IoT ierīču statistika”).

Pēc noklusējuma displejā tiek parādītas visbiežāk novērotās uzbrūkošās ierīces pēc avota (tas ietver gadījumus, kad mēs nevaram identificēt ierīci vai, piemēram, identificējam tikai ražotāju). Varat izvēlēties filtrēt pēc konkrētas valsts vai grupējuma vai tā vietā parādīt anomāliju tabulu.

Shadowserver vadības paneļa izstrādi finansēja Apvienotās Karalistes FCDO. IoT ierīču ciparnospiedumu un urķuslazdu (honeypot) uzbrukumu statistiku līdzfinansēja Eiropas Savienības Eiropas infrastruktūras savienošanas instruments (ES CEF VARIoT projekts).

Mēs vēlamies pateikties visiem mūsu partneriem, kuri piedalījās Shadowserver vadības paneļa izmantoto datu apstrādē, to skaitā (alfabētiskā secībā) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Jokohamas Valsts universitātei un visiem tiem, kuri izvēlējās palikt anonīmi.

Shadowserver izmanto sīkfailus, lai apkopotu analītiskos datus. Tas ļauj mums izvērtēt, kā vietne tiek izmantota, un uzlabot lietotāju pieredzi. Plašāku informāciju par sīkfailiem un to, kā Shadowserver tos izmanto, skatiet mūsu konfidencialitātes politikā. Mums ir nepieciešama jūsu piekrišana, lai jūsu ierīcē lietotu sīkfailus.