Pomoč

Splošna pomoč

Pregled nadzorne plošče

Nadzorna plošča Shadowserver predstavlja statistične podatke na visoki ravni, ki odražajo glavne nize podatkov, ki jih Shadowserver zbira in deli v okviru svojih dnevnih dejavnosti v več kot 100 dnevnih poročilih. Nabori podatkov omogočajo prepoznavanje izpostavljene površine napadov, ranljivosti, napačnih konfiguracij, ogroženosti omrežij kot tudi opazovanja napadov. Podatki, ki se delijo v obliki poročil, vsebujejo podrobne informacije na ravni IP v zvezi z določenim omrežjem ali skupino. Nadzorna plošča Shadowserver ne omogoča te stopnje razdrobljenosti. Namesto tega predstavlja statistiko na visoki ravni, ki odraža te dejavnosti. To omogoča vpogled v najnovejše nastajajoče grožnje, ranljivosti in incidente ter s tem ozavešča širšo skupnost, hkrati pa ohranja anonimnost vseh vpletenih strani.

Viri in oznake

Predstavitev podatkov je organizirana na podlagi virov in oznak. Vir je v bistvu skupina podatkov neke oblike. Osnovni viri so honeypot, population, scan, sinkhole. Tako populacija kot skeniranje sta niza podatkov, ki temeljijo na skeniranju, pri čemer je populacija štetje končne točke izpostavljenosti brez ocene ranljivosti/varnosti. Pripona 6 predstavlja podatke IPv6 (vsi vnosi brez te pripone se nanašajo na podatke IPv4).

Viri imajo lahko povezane oznake, ki zagotavljajo dodaten kontekst za predstavljene podatke. Oznake za scan bodo na primer vključevale dejanske različne vrste skeniranja (tj. storitve/protokoli, ki se skenirajo, kot so telnet, ftp in rdp). Oznake za sinkhole bi odražale dejanske družine zlonamerne programske opreme, ki se povezujejo z vrtačo (tj. gostitelji, okuženi z vrsto družine zlonamerne programske opreme, kot je adload, andromeda in necurs).

Oznake nudijo dodatne vpoglede v predstavljene podatke.

Poleg tega uvajamo tudi dodatne skupine virov, da bolje odražamo opažanja o ranljivih ali ogroženih gostiteljih – na primer http_vulnerable ali compromised_website. Običajno vsebujejo oznake, ki odražajo specifične ranljivosti CVE, prizadete prodajalce ali izdelke ali informacije o opaženih stranskih vratih, spletnih lupinah ali vsadkih. Primer za http_vulnerable bi bil citrix ali cve-2023-3519.

Z dodajanjem več zaznav v naše nabore podatkov, dobimo več oznak. To pomeni, da se lahko pojavijo nove kategorije virov, med katerimi lahko izbiramo. Na primer: čeprav je snmp oznaka, ki je prisotna na izvornem scan, je tudi prikazana kot vir. To nam omogoča, da predstavimo natančnejše rezultate skeniranja snmp, ki omogočajo ogled specifičnih rezultatov skeniranja snmp, povezanih z ranljivostjo, kot je cve-2017-6736.

Hitre povezave do kategorij podatkov: Leva navigacijska vrstica

Predstavljeni nizi podatkov so zbrani z različnimi obsežnimi metodami zbiranja, vključno s pogrezanjem, skeniranjem in honeypoti. Te glavne kategorije naborov podatkov se delijo s pomočjo leve navigacijske vrstice, pri čemer vsako vrsto kategorije označuje drugačna ikona.

Cilj je omogočiti hitrejše poglabljanje v določene kategorije virov. Na primer:

  • Vrtača – nudi pregled naborov podatkov, razvrščenih glede na vir sinkhole. Nato si lahko ogledate določen rezultat vrtače tako, da izberete oznako ali skupino oznak.
  • Skeniranje – nudi pregled naborov podatkov, razvrščenih glede na vir scan (ta kategorija vsebuje rezultate skeniranja za storitve, povezane z določeno vrsto varnostnih težav. Lahko si ogledate tudi rezultate skeniranja populacije tako, da namesto tega izberete izvorno population). Nato si lahko ogledate določen rezultat skeniranja tako, da izberete oznako ali skupino oznak.
  • Honeypoti – nudi pregled naborov podatkov, razvrščenih glede na vir honeypot. Nato si lahko ogledate določen rezultat honeypota tako, da izberete oznako ali skupino oznak.
  • DDoS – nudi pregled naborov podatkov, razvrščenih glede na vir honeypot_ddos_amp. To so ojačani napadi DDoS, ki jih zaznajo edinstvene tarče v določeni državi/regiji. Nato si lahko ogledate uporabljeno metodo ojačenja tako, da izberete oznako ali skupino oznak.
  • ICS – nudi pregled naborov podatkov, razvrščenih glede na vir ics (ki so rezultati skeniranja izvornih protokolov industrijskih nadzornih sistemov). Nato si lahko ogledate uporabljene izvorne protokole tako, da izberete oznako ali skupino oznak.
  • Spletni CVE – nudi pregled naborov podatkov, razvrščenih glede na http_vulnerable in exchange. To so ranljive spletne aplikacije, ki jih pri naših skenih običajno odkrije CVE. CVE-je ali prizadete izdelke si lahko ogledate tako, da izberete oznako ali skupino oznak.

Nabore podatkov je mogoče razčleniti po državah ali skupinah držav, regijah in celinah.

Vsak nabor podatkov je opisan tudi v razdelku »O teh podatkih«.

Upoštevajte, da je poleg označenih na voljo več nizov podatkov. Izvorni beacon vam bo na primer omogočil raziskovanje ogrodja C2 po izkoriščanju, ki ga zaznamo v naših skenih, izvorni compromised_website pa vam bo omogočil raziskovanje ogroženih spletnih končnih točk, ki jih vidimo v naših skenih.

Zgornja navigacijska vrstica

Zgornja navigacijska vrstica omogoča različne možnosti vizualizacije za prikaz podatkov, kot tudi za vizualizacijo identifikacije naprav in naborov podatkov za opazovanje napadov.

Splošna statistika

Splošna statistika vključuje možnost vizualizacije katerega koli vira in oznake, tako da izberemo:

  • Zemljevid sveta – prikaz zemljevida sveta, ki prikazuje izbrane vire in oznake. Dodatne funkcije vključujejo: možnost preklopa prikaza za prikaz najpogostejše oznake na državo na vir, normalizacijo glede na prebivalstvo, BDP, povezane uporabnike itd. Za prikaz vrednosti na državo lahko izberete tudi označevalce na zemljevidu.
  • Zemljevid regij – prikaz zemljevida na ravni države, kjer so države razdeljene na regije in province.
  • Primerjalni zemljevid – primerjalni zemljevid dveh držav.
  • Časovna vrsta – grafikon, ki prikazuje kombinacije vira in oznak skozi čas. Upoštevajte, da omogoča različne oblike združevanja podatkov (ne le po državah).
  • Vizualizacija – ponuja različne možnosti poglobitve v nabore podatkov, vključno s povprečji vrednosti skozi čas. Omogoča prikazovanje podatkov v obliki tabel, paličnih grafikonov, mehurčastih grafikonov ipd.

Statistika naprav IoT (statistika prepoznavanja naprav)

Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek izpostavljenih končnih točk, razvrščenih po izpostavljenih prodajalcih in njihovih izdelkih, ki so jih naši skeni prepoznali. Podatki so razvrščeni glede na prodajalca, model in vrsto naprave. Te prepoznamo z različnimi sredstvi, vključno z vsebino spletne strani, potrdili SSL/TLS, prikazanimi pasicami itd. Podatkovni nizi vsebujejo le podatke o populaciji, tj. ne ocenijo se morebitne ranljivosti, povezane z izpostavljenimi končnimi točkami (če jih želite poiskati, namesto tega izberite vire, kot je na primer http_vulnerable pod razdelkom »Splošna statistika«).

Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) prodajalce, modele in vrste naprav.

Statistika napadov: Ranljivosti

Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek napadov, ki jih zazna naše omrežje senzorjev honeypot, s poudarkom na ranljivostih, ki se uporabljajo za izkoriščanje. Ti vključujejo zmožnost ogleda najpogosteje napadenih izdelkov in preverjanja načina napada (tj. s katero izkoriščeno ranljivostjo, ki lahko vključuje določen izkoriščen CVE). Ogledate si lahko tudi grafikone glede na vir napadov in cilje.

Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) prodajalca, ranljivost ter vir in cilj napadov.

Dodana je tudi dodatna kategorija vizualizacije »Spremljanje«:

To je posodobljena dnevna tabela najpogostejših izkoriščenih ranljivosti, razvrščenih po edinstvenih izvornih IP-jih, ki so bili opaženi pri napadih (ali opaženih poskusih napadov, če izberete možnost statistike poskusov povezav). Podatki izvirajo iz našega omrežja senzorjev honeypot. Podatki so razvrščeni glede na izkoriščene ranljivosti. Vključuje tudi preslikave znanih izkoriščenih ranljivosti CISA (vključno s tem, ali je znano, da jo izkorišča skupina izsiljevalske programske opreme) ter ali je napad usmerjen proti napravi IoT in ne strežniški aplikaciji.

Zaslon privzeto prikazuje najpogostejše ranljivosti, izkoriščene za ves svet, lahko pa tudi filtrirate po določeni državi ali skupini ali namesto tega prikažete tabelo anomalij.

Statistika napadov: Naprave

Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek vrst napadalnih naprav, ki jih zazna naše omrežje senzorjev honeypot. Prstne odtise teh naprav izvedemo z našimi dnevnimi skeni. Nabori podatkov omogočajo sledenje določenim vrstam napadov, prodajalcem naprav ali modelom in jih je mogoče filtrirati po državah.

Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) vrsto, prodajalca naprave ali model.

Dodana je tudi dodatna kategorija vizualizacije »Spremljanje«:

To je posodobljena dnevna tabela najpogostejših napadalnih naprav, razvrščenih po edinstvenih izvornih IP-jih, ki so bili opaženi pri napadih (ali opaženih poskusih napadov, če izberete možnost statistike poskusov povezav). Tako kot vsi nabori podatkov, prikazani v tej kategoriji, izvira iz našega omrežja senzorjev honeypot. Razvrščena je v skupine po vrsti napada, prodajalcu in modelu (če je na voljo). Napadajočo napravo določimo tako, da IP-je povežemo z rezultati našega dnevnega skeniranja prstnih odtisov naprave (glejte razdelek »Statistika naprav IoT«).

Zaslon privzeto prikazuje najpogostejše napadalne naprave (glede na vir), za katere je bilo ugotovljeno, da napadajo (to vključuje primere, ko ne moremo prepoznati naprave ali na primer samo prepoznamo prodajalca). Filtrirate lahko po določeni državi ali skupini ali namesto tega prikažete tabelo anomalij.

Razvoj nadzorne plošče Shadowserver je financiral UK FCDO. Statistika prstnih odtisov naprav IoT in statistika napadov honeypot sofinancirana s strani Instrumenta za povezovanje Evrope Evropske unije (projekt EU CEF VARIoT).

Zahvaljujemo se vsem našim partnerjem, ki so prijazno prispevali k podatkom, ki se uporabljajo na nadzorni plošči Shadowserver, vključno z (po abecedi) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University in vsemi tistimi, ki so se odločili ostati anonimni.

Shadowserver uporablja piškotke za zbiranje analitičnih podatkov. To nam omogoča merjenje uporabe spletnega mesta in izboljšanje izkušnje za naše uporabnike. Za več informacij o piškotkih in o tem, kako jih Shadowserver uporablja, glejte naš pravilnik o zasebnosti. Za takšno uporabo piškotkov na vaši napravi potrebujemo vaše soglasje.