Ajuda

Ajuda geral

Visão geral do painel

O Shadowserver Dashboard apresenta estatísticas de alto nível que refletem os principais conjuntos de dados que o Shadowserver coleta e compartilha através de suas atividades diárias em mais de 100 relatórios diários. Os conjuntos de dados permitem a identificação da superfície de ataque exposta, vulnerabilidades, configurações incorretas, comprometimentos de redes, bem como observações de ataques. Os dados, compartilhados na forma de relatórios, contêm informações detalhadas em nível de IP relativas a uma determinada rede ou grupo constituinte. O Shadowserver Dashboard não permite esse nível de granularidade. Em vez disso, apresenta estatísticas de alto nível que refletem estas atividades. Isso permite insights sobre as mais recentes ameaças, vulnerabilidades e incidentes emergentes, proporcionando consciência situacional à comunidade em geral, preservando ao mesmo tempo o anonimato de todas as partes envolvidas.

Fontes e tags

A apresentação dos dados é organizada em torno de fontes e tags. Uma fonte é essencialmente um agrupamento de dados de alguma forma. As fontes básicas são honeypot, population, scan, sinkhole. Tanto a população quanto a varredura são conjuntos de dados baseados em varredura, sendo a população uma contagem de endpoints de exposição sem uma avaliação de vulnerabilidade/segurança. Um sufixo 6 representa dados IPv6 (todas as entradas sem o sufixo referem-se a dados IPv4).

As fontes podem ter tags associadas a elas que fornecem contexto adicional para os dados apresentados. Por exemplo, tags para scan incluirão os diferentes tipos de varredura (ou seja, serviços/protocolos sendo verificados como telnet, ftp e rdp). Tags para sinkhole refletiriam as famílias reais de malware conectadas a um sinkhole (ou seja, hosts infectados por um tipo de família de malware como adload, andromeda e necurs).

As tags fornecem insights adicionais sobre os dados apresentados.

Além disso, também introduzimos agrupamentos de fontes adicionais para refletir melhor as observações sobre hosts vulneráveis ou comprometidos - por exemplo, http_vulnerable ou compromised_website. Normalmente, eles contêm tags que refletem vulnerabilidades específicas de CVE, fornecedores ou produtos afetados ou informações sobre backdoors, webshells ou implantes vistos. Um exemplo de http_vulnerable seria citrix ou cve-2023-3519.

Finalmente, à medida que adicionamos mais detecções aos nossos conjuntos de dados, acabamos com mais tags. Isso significa que novas categorias de fontes podem aparecer para você escolher. Por exemplo, embora snmp seja uma tag presente na fonte scan, ela também é apresentada como fonte. Isso nos permite apresentar resultados de varredura snmp mais granulares que permitem a visualização de resultados de varredura snmp específicos associados a uma vulnerabilidade como cve-2017-6736.

Links rápidos para categorias de dados: barra de navegação esquerda

Os conjuntos de dados apresentados são coletados através de vários métodos de coleta em larga escala, incluindo sinkholes, scans e honeypots. Estas categorias principais dos conjuntos de dados são compartilhadas na barra de navegação esquerda, com cada tipo de categoria simbolizada por um ícone diferente.

O objetivo é permitir análises mais rápidas em categorias específicas de fontes. Por exemplo:

  • Sinkholes - fornece uma visão geral dos conjuntos de dados agrupados por sinkhole de fonte. Você pode então visualizar um resultado específico de sinkhole selecionando uma tag ou grupo de tags.
  • Scans - fornece uma visão geral dos conjuntos de dados agrupados por scan de fonte (esta categoria contém resultados de scan para serviços que possuem algum tipo de problema de segurança associado a eles, você também pode visualizar o scan de população resultados selecionando population). Você pode então visualizar o resultado de uma varredura específica selecionando uma tag ou grupo de tags.
  • Honeypots - fornece uma visão geral dos conjuntos de dados agrupados por honeypot. Você pode então visualizar o resultado de um honeypot específico selecionando uma tag ou grupo de tags.
  • DDoS - fornece uma visão geral dos conjuntos de dados agrupados por fonte honeypot_ddos_amp. Estes são ataques DDoS de amplificação vistos por alvos únicos em um determinado país/região. Você pode então visualizar um método de amplificação específico usado selecionando uma tag ou grupo de tags.
  • ICS - fornece uma visão geral dos conjuntos de dados agrupados por ics (que são resultados de varredura de protocolos nativos de Sistemas de Controle Industrial). Você pode então visualizar os protocolos nativos usados selecionando uma tag ou grupo de tags.
  • Web CVEs - fornece uma visão geral dos conjuntos de dados agrupados por http_vulnerable e exchange. Esses são aplicativos web vulneráveis identificados em nossas varreduras, normalmente pelo CVE. Você pode visualizar os CVEs ou produtos afetados selecionando uma tag ou grupo de tags.

Os conjuntos de dados podem ser divididos por países ou agrupamentos de países, regiões e continentes.

Cada conjunto de dados também é descrito em “Sobre estes dados”.

Observe que há mais conjuntos de dados disponíveis além dos destacados. Por exemplo, o beacon de origem permitirá que você explore C2s da estrutura pós-exploração que vemos em nossas varreduras, e o compromised_website de origem permitirá que você explore endpoints web comprometidos vistos em nossas varreduras.

Barra de navegação superior

A barra de navegação superior permite várias opções de visualização para apresentação de dados, bem como para visualização de identificação de dispositivos e conjuntos de dados de observação de ataques.

Estatísticas gerais

As estatísticas gerais incluem a capacidade de visualizar qualquer fonte e tag selecionando:

  • Mapa mundial - uma exibição de mapa mundial mostrando fontes e tags selecionadas. Os recursos extras incluem: capacidade de alternar a exibição para mostrar a tag mais comum por país e por fonte, normalização por população, PIB, conectar usuários, etc. Você também pode selecionar marcadores no mapa para exibir valores por país.
  • Mapa de região - um mapa em nível de país com países divididos em regiões e províncias.
  • Mapa de comparação - um mapa de comparação de dois países.
  • Série temporal - um gráfico que mostra combinações de fonte e tag ao longo do tempo. Observe que permite diferentes formas de agrupamento de dados (não apenas por país).
  • Visualização - oferece várias opções de detalhamento dos conjuntos de dados, incluindo médias de valores ao longo do tempo. Permite exibir dados na forma de tabelas, gráficos de barras, diagramas de bolhas e muito mais.

Estatísticas de dispositivos IoT (estatísticas de identificação de dispositivos)

Esse conjunto de dados e as visualizações associadas fornecem um snapshot diário de endpoints expostos agrupados por fornecedores expostos e seus produtos identificados por meio de nossas varreduras. Os dados são categorizados por fornecedor, modelo e tipo de dispositivo. Eles são identificados por vários meios, incluindo conteúdo de páginas da web, certificados SSL/TLS, banners exibidos, etc. Os conjuntos de dados contêm apenas dados populacionais, ou seja, nenhuma avaliação é feita de quaisquer vulnerabilidades associadas aos endpoints expostos (para encontrá-los, selecione fontes como, por exemplo, http_vulnerable em “Estatísticas gerais”).

Existem gráficos de visualização semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de usar fontes e tags você pode visualizar (e agrupar por) fornecedores. strong>, modelos e tipos de dispositivos.

Estatísticas de ataque: vulnerabilidades

Este conjunto de dados e as visualizações associadas fornecem um instantâneo diário dos ataques vistos pela nossa rede de sensores honeypot, com foco nas vulnerabilidades usadas para exploração. Isso inclui a capacidade de visualizar produtos que são atacados com mais frequência e de explorar como eles são atacados (ou seja, por qual vulnerabilidade explorada, o que pode incluir CVE específico sendo explorado). Você também pode visualizar gráficos por origem e destino dos ataques.

Existem gráficos de visualização semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de usar fontes e tags você pode visualizar (e agrupar por) fornecedor, vulnerabilidade bem como fonte e destino dos ataques.

Uma categoria de visualização adicional - Monitoramento, também foi adicionada:

Esta é uma tabela diária atualizada das vulnerabilidades exploradas mais comuns, agrupadas por IPs de origem exclusivos observados no ataque (ou tentativas de ataque observadas, se você selecionar a opção estatística de tentativas de conexão). Os dados são provenientes de nossa rede de sensores honeypot. Os dados são agrupados por vulnerabilidades exploradas. Também inclui mapeamentos de vulnerabilidades exploradas conhecidas da CISA (incluindo se é conhecido por ser explorado por um grupo de ransomware), bem como se o ataque é contra um dispositivo IoT e não contra um aplicativo de servidor.

Por padrão, a exibição mostra as vulnerabilidades mais comuns exploradas em todo o mundo, mas você também pode filtrar por país ou grupo específico ou exibir uma tabela de anomalias.

Estatísticas de ataque: dispositivos

Este conjunto de dados e as visualizações associadas fornecem um snapshot diário dos tipos de dispositivos de ataque vistos pela nossa rede de sensores honeypot. A impressão digital desses dispositivos é feita por meio de varreduras diárias. Os conjuntos de dados permitem o rastreamento de tipos específicos de ataques, fornecedores ou modelos de dispositivos e podem ser filtrados por país.

Existem gráficos semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de usar fontes e tags você pode visualizar (e agrupar por) o tipo de ataque, fornecedor ou modelo do dispositivo.

Uma categoria de visualização adicional - monitoramento, também foi adicionada:

Esta é uma tabela diária atualizada dos dispositivos de ataque mais comuns vistos por IPs de origem exclusivos observados atacando (ou tentativas de ataque vistas, se você selecionar a opção de estatística de tentativas de conexão). Como em todos os conjuntos de dados exibidos nesta categoria, eles são provenientes de nossa rede de sensores honeypot. É agrupado por tipo de ataque visto, fornecedor e modelo (se disponível). Determinamos o dispositivo atacante correlacionando os IPs vistos com os resultados da nossa impressão digital diária do dispositivo (consulte a seção “Estatísticas do dispositivo IoT”).

Por padrão, a exibição mostra os dispositivos de ataque mais comuns (por origem) vistos atacando (isso inclui casos em que não conseguimos identificar um dispositivo ou, por exemplo, apenas identificar um fornecedor). Você pode optar por filtrar por país ou grupo específico ou exibir uma tabela de anomalias.

O desenvolvimento do Shadowserver Dashboard foi financiado pelo FCDO do Reino Unido. Estatísticas de impressões digitais de dispositivos IoT e estatísticas de ataques de honeypot cofinanciadas pelo projeto Connecting Europe Facility da União Europeia (EU CEF VARIoT).

Gostaríamos de agradecer a todos os nossos parceiros que gentilmente contribuem com os dados usados no Shadowserver Dashboard, incluindo (em ordem alfabética) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Universidade Nacional de Yokohama e todos aqueles que optaram por permanecer anônimos.

O Shadowserver usa cookies para coletar análises. Isso nos permite medir a forma como o site é utilizado e melhorar a experiência dos nossos usuários. Para obter mais informações sobre cookies e como o Shadowserver os utiliza, consulte nossa política de privacidade. Precisamos do seu consentimento para usar cookies desta forma no seu dispositivo.