Help

Algemene hulp

Dashboardoverzicht

Het Shadowserver-dashboard presenteert statistieken op hoofdlijnen. Deze weerspiegelen de belangrijkste gegevenssets die Shadowserver tijdens zijn dagelijkse activiteiten verzamelt en deelt in meer dan 100 dagelijkse rapporten. Met de gegevenssets kunnen het blootgestelde aanvalsoppervlak, beveiligingsproblemen, verkeerde configuraties, netwerkinbraken en waargenomen aanvallen worden vastgesteld. De gegevens, die als rapporten worden gedeeld, bevatten gedetailleerde informatie op IP-niveau over een bepaald netwerk of een bepaalde regio. Dit detailniveau is niet mogelijk op het Shadowserver-dashboard. In plaats daarvan worden statistieken op hoofdlijnen weergegeven die deze activiteiten weerspiegelen. Dit geeft inzicht in de nieuwste opkomende bedreigingen, beveiligingsproblemen en incidenten en biedt de bredere gemeenschap inzicht in de situatie zonder de anonimiteit van alle betrokken partijen te schaden.

Bronnen en tags

Gegevens worden weergegeven op basis van bronnen en tags. Een bron is in wezen een gegevensgroep in een bepaalde vorm. De basisbronnen zijn honeypot, population, scan, sinkhole. Zowel de populatie als de scan betreffen gegevenssets op basis van scans. Daarbij geeft de populatie het aantal eindpunten voor blootstelling weer zonder een beoordeling van een beveiligingsprobleem/de veiligheid. Een 6-achtervoegsel geeft aan dat er sprake is van IPv6-gegevens (alle vermeldingen zonder het achtervoegsel verwijzen naar IPv4-gegevens).

Aan bronnen kunnen tags zijn gekoppeld die extra context bieden voor de gegevens die worden gepresenteerd. Tags voor scan bevatten bijvoorbeeld het daadwerkelijke aantal verschillende scantypen (bijv. services/protocollen die worden gescand, zoals telnet, ftp en rdp). Tags voor sinkhole geven de daadwerkelijke malware-families weer die verbinding maken met een sinkhole (d.w.z. hosts die zijn geïnfecteerd met een malware-familietype zoals adload, andromeda en necurs).

Tags geven extra inzicht in de gegevens die worden gepresenteerd.

Daarnaast introduceren we ook aanvullende groeperingen van bronnen, zodat observaties over kwetsbare of gecompromitteerde hosts beter worden weerspiegeld – bijvoorbeeld http_vulnerable of de compromised_website. Deze bevatten meestal tags met specifieke CVE-beveiligingsproblemen, getroffen leveranciers of producten, of informatie over backdoors, webshells of implants. Een voorbeeld van http_vulnerable is citrix of cve-2023-3519.

Tot slot: naarmate we meer detecties aan onze datasets toevoegen, krijgen we meer tags. Daarom kunnen er mogelijk nieuwe broncategorieën worden gekozen. Hoewel snmp bijvoorbeeld een tag is die aanwezig is in de bron scan, wordt deze ook als bron weergegeven. Hierdoor kunnen we meer gedetailleerde resultaten voor snmp-scans presenteren, zodat er specifieke snmp-scanresultaten kunnen worden weergegeven die verband houden met een beveiligingsprobleem (zoals cve-2017-6736).

Snelkoppelingen naar gegevenscategorieën: Menubalk links

De gepresenteerde gegevenssets worden verzameld via verschillende grootschalige verzamelmethoden, waaronder sinkholing, scans en ‘honeypots’. Deze hoofdcategorieën van de gegevenssets worden gedeeld in het menu links, waarbij elk type categorie wordt gesymboliseerd door een ander pictogram.

Zo kunt u sneller in bepaalde broncategorieën duiken. Bijvoorbeeld:

  • Sinkholes - Biedt een overzicht van gegevenssets die zijn gegroepeerd op sinkhole van de bron. U kunt vervolgens een bepaald ‘sinkhole’-resultaat bekijken door een tag of groep tags te selecteren.
  • Scans - Biedt een overzicht van gegevenssets die zijn gegroepeerd op scanscan (deze categorie bevat scanresultaten voor services met een beveiligingsprobleem; u kunt ook de resultaten van populatiescans bekijken door in plaats daarvan bronpopulation te selecteren). U kunt vervolgens een bepaald scanresultaat bekijken door een tag of groep tags te selecteren.
  • Honeypots - Biedt een overzicht van gegevenssets die zijn gegroepeerd op honeypot van de bron. U kunt vervolgens een bepaald ‘honeypot’-resultaat bekijken door een tag of groep tags te selecteren.
  • DDoS - Biedt een overzicht van gegevenssets die zijn gegroepeerd op honeypot_ddos_amp van de bron. Dit zijn versterkte DDoS-aanvallen, gezien op unieke doelwitten in een bepaald land/bepaalde regio. U kunt vervolgens een bepaalde versterkingsmethode bekijken door een tag of groep tags te selecteren.
  • ICS - Biedt een overzicht van gegevenssets die zijn gegroepeerd op ics-bron (dit zijn scanresultaten van systeemeigen protocollen van industriële controle systemen). U kunt vervolgens de gebruikte systeemeigen protocollen bekijken door een tag of groep tags te selecteren.
  • Web-CVE’s - Biedt een overzicht van gegevenssets die zijn gegroepeerd op http_vulnerable en exchange. Dit zijn kwetsbare webtoepassingen die in onze scans worden geïdentificeerd, meestal door CVE. U kunt de CVE’s of getroffen producten bekijken door een tag of groep tags te selecteren.

De gegevenssets kunnen worden opgesplitst op land of landengroeperingen, regio's en continenten.

Elke gegevensset wordt ook beschreven in ‘Over deze gegevens’.

NB: Er zijn meer gegevenssets beschikbaar zijn dan de uitgelichte sets. Met beacon kunt u bijvoorbeeld C2’s voor frameworks na blootlegging verkennen die we in onze scans zien, en met compromised_website kunt u gecompromitteerde web-eindpunten verkennen die we in onze scans zien.

Menubalk boven

Via de menubalk bovenaan zijn verschillende visualisatieopties voor het presenteren van gegevens. Ook vindt u er visualisatieopties voor het identificeren van apparaten en gegevens voor observatie van aanvallen.

Algemene statistieken

Algemene statistieken omvatten de mogelijkheid om elke bron en tag te visualiseren door te selecteren uit:

  • Wereldkaart - Een wereldkaart met geselecteerde bronnen en tags. Extra functies zijn onder meer: mogelijkheid om de weergave te wijzigen, zodat de meest voorkomende tag per land per bron wordt weergegeven; normalisatie op basis van populatie; BBP; gebruikers verbinden; enz. U kunt ook markers op de kaart selecteren om waarden per land weer te geven.
  • Regiokaart - Een kaart op landniveau, waarbij de landen zijn opgesplitst in regio's en provincies.
  • Vergelijkingskaart - Een vergelijkingskaart voor twee landen.
  • Tijdreeks - Een grafiek met combinaties van source en tag/strong> in de loop van de tijd. Hierin zijn verschillende vormen van gegevensgroepen mogelijk (niet alleen per land).
  • Visualisatie - Biedt verschillende opties voor het inzoomen op de gegevenssets, waaronder gemiddelden van waarden in de loop van de tijd. Hiermee kunt u gegevens weergeven in de vorm van tabellen, staafdiagrammen, bellendiagrammen en meer.

Statistieken voor IoT-apparaten (statistieken voor apparaatidentificatie)

Deze gegevensset en bijbehorende visualisaties bieden een dagelijkse momentopname van toegankelijke eindpunten, gegroepeerd op blootgestelde leveranciers en hun producten die via onze scans zijn geïdentificeerd. Gegevens zijn gecategoriseerd op leverancier, model en apparaattype. Deze worden op verschillende manieren geïdentificeerd, waaronder via inhoud van webpagina's, SSL/TLS-certificaten, weergegeven banners, enz. De gegevenssets bevatten alleen populatiegegevens. Er dus wordt geen beoordeling gemaakt van beveiligingsproblemen voor de blootgestelde eindpunten (u kunt deze vinden door bronnen zoals http_vulnerable te selecteren onder ‘Algemene statistieken’).

Er bestaan vergelijkbare visualisatiegrafieken zoals in ‘Algemene statistieken’. Het verschil is dat u in plaats van bronnen en tags te gebruiken, inhoud kunt weergeven (en groeperen) op leveranciers, modellen en apparaattypen.

Aanvalsstatistieken: Beveiligingsproblemen

Deze gegevensset en bijbehorende visualisaties bieden een dagelijkse momentopname van aanvallen die door ons ‘honeypot’-sensornetwerk worden waargenomen. De nadruk ligt daarbij op beveiligingsproblemen die worden uitgebuit. Deze omvatten de mogelijkheid om producten weer te geven die het vaakst worden aangevallen en om te onderzoeken hoe ze worden aangevallen (d.w.z. door welk uitgebuit beveiligingsprobleem, waaronder mogelijk bepaalde CVE's die worden uitgebuit). U kunt ook diagrammen weergeven op bron van de aanvallen en bestemmingen.

Er bestaan vergelijkbare visualisatiegrafieken zoals in ‘Algemene statistieken’. Het verschil is dat u in plaats van bronnen en tags te gebruiken, inhoud kunt weergeven (en groeperen) op leverancier, beveiligingsprobleem en bron en bestemming van de aanvallen.

Er is ook een extra visualisatiecategorie (‘Monitoring’) toegevoegd:

Dit is een tabel met de meest voorkomende misbruikte kwetsbaarheden, gegroepeerd op unieke IP-adressen van de bron die aanvallen hebben waargenomen (of die aanvalspogingen hebben waargenomen, als u de statistische optie ‘Verbindingspogingen’ selecteert). De tabel wordt dagelijks bijgewerkt. De gegevens zijn afkomstig uit ons ‘honeypot’-sensornetwerk. Gegevens zijn gegroepeerd op misbruikte beveiligingsproblemen. De tabel omvat ook toewijzingen van bij CISA bekende uitgebuite beveiligingsproblemen (inclusief of bekend is of ze worden uitgebuit door een ransomware-groep) en of de aanval is gericht op een IoT-apparaat in plaats van op een servertoepassing.

Standaard worden voor de hele wereld de meest voorkomende beveiligingsproblemen weergegeven die worden uitgebuit. U kunt echter ook filteren op een bepaald land of op een bepaalde groep, of in plaats daarvan een tabel met afwijkingen weergeven.

Aanvalsstatistieken: Apparaten

Deze gegevensset en bijbehorende visualisaties bieden een dagelijkse momentopname van de soorten aanvallende apparaten die door ons ‘honeypot’-sensornetwerk worden waargenomen. ‘Fingerprinting’ van deze apparaten vindt plaats tijdens onze dagelijkse scans. Met de gegevenssets kunnen bepaalde soorten aanvallen, leveranciers van apparaten of modellen worden gevolgd. De gegevenssets kunnen worden gefilterd op land.

Er bestaan vergelijkbare diagrammen zoals in ‘Algemene statistieken’. Het verschil is dat u in plaats van bronnen en tags te gebruiken, inhoud kunt weergeven (en groeperen) op type aanval, leverancier van het apparaat of model.

Er is ook een extra visualisatiecategorie (‘Monitoring’) toegevoegd:

Dit is een tabel met de meest voorkomende aanvalsapparaten, gegroepeerd op unieke IP-adressen van de bron die aanvallen hebben waargenomen (of die aanvalspogingen hebben waargenomen, als u de statistische optie ‘Verbindingspogingen’ selecteert). De tabel wordt dagelijks bijgewerkt. Zoals in alle gegevenssets die in deze categorie worden weergegeven, zijn deze afkomstig uit ons ‘honeypot’-sensornetwerk. De tabel wordt gegroepeerd op type aanval, leverancier en model (indien beschikbaar). We stellen het aanvallende apparaat vast door IP-adressen te correleren met de resultaten van ‘fingerprints’ uit onze dagelijkse apparaatscans (zie ‘Statistieken IoT-apparaten’).

Standaard worden de meest voorkomende aanvalsapparaten (per bron) weergegeven (dit omvat ook gevallen waarin we een apparaat niet kunnen identificeren of bijvoorbeeld alleen een leverancier kunnen identificeren). U kunt ervoor kiezen om te filteren op een bepaald land of op een bepaalde groep, of in plaats daarvan een tabel met afwijkingen weergeven.

De ontwikkeling van het Shadowserver-dashboard werd gefinancierd door de Britse FCDO. Statistieken over ‘fingerprinting’ van IoT-apparaten en ‘honeypot’-aanvallen worden medegefinancierd door de Connecting Europe Facility van de Europese Unie (EU CEF VARIoT-project).

We willen al onze partners bedanken die bijdragen aan de gegevens die worden gebruikt op het Shadowserver-dashboard, waaronder (alfabetisch) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University en al diegenen die ervoor hebben gekozen om anoniem te blijven.

Shadowserver gebruikt cookies om analyses te verzamelen. Hierdoor kunnen we het gebruik van de site meten en de ervaring van onze gebruikers te verbeteren. Raadpleeg ons privacybeleid voor meer informatie over cookies en hoe Shadowserver ze gebruikt. We hebben uw toestemming nodig om cookies op deze manier op uw apparaat te gebruiken.