Hjälp

Allmän hjälp

Översikt över Dashboard

Shadowservers instrumentpanel visar övergripande statistik som bygger på de viktigaste datamängder som Shadowserver samlar in och delar via sina dagliga aktiviteter i över 100 rapporter. Datamängderna möjliggör identifiering av den exponerade attackytan, sårbarheter, felkonfigureringar, komprometterade nätverk samt observationer av attacker. Datan, som delas i form av rapporter, innehåller detaljerad information på IP-nivå för ett specifikt nätverk eller enhet. Shadowservers instrumentpanel kan inte visa så detaljerad information. Istället presenterar den övergripande statistik som speglar dessa aktiviteter. Detta ger inblick i de senaste hoten, sårbarheterna och incidenterna, vilket ger samhället i stort en lägesbild samtidigt som alla inblandade parters anonymitet skyddas.

Källor och taggar

Data presenteras utifrån källor och taggar. En källa är i huvudsak en datagruppering av något slag. De grundläggande källorna är honeypot, population, scan och sinkhole. Både population och scan är skanningsbaserade datamängder, där population är ett antal exponerade slutpunkter utan sårbarhets-/säkerhetsbedömning. Suffixet 6 representerar IPv6-data (alla poster utan suffix avser IPv4-data).

Källor kan ha taggar som associeras med dem och som ger mer information om datan som presenteras. Till exempel innehåller taggar för scan de olika sökningstyperna (dvs. tjänster/protokoll som genomsöks som telnet, ftp och rdp). Taggar för sinkhole skulle återspegla familjerna av skadlig kod som är kopplade till ett sinkhole (dvs. värdar som är smittade av en typ av familj med skadlig kod som adload, andromeda och necurs).

Taggar ger ytterligare insikter om de data som presenteras.

Vi introducerar även ytterligare källgrupperingar för att bättre spegla observationer av sårbara eller komprometterade värdar, t.ex. http_vulnerable eller compromised_website. Dessa grupperingar innehåller vanligtvis taggar som anger specifika CVE-sårbarheter, berörda leverantörer eller produkter, eller information om bakdörrar, webbshells eller implantat som upptäckts. Ett exempel för http_vulnerable skulle vara citrix eller cve-2023-3519.

Allteftersom vi lägger till fler upptäckter i våra datamängder får vi fler taggar. Det innebär att det kan dyka upp nya källkategorier att välja bland. Även om snmp är en tagg på källan scan, så finns den till exempel även som källa. Tack var detta kan vi presentera mer detaljerade snmp-skanningsresultat, vilket gör det möjligt att visa specifika snmp-skanningsresultat som är associerade med en sårbarhet som cve-2017-6736.

Snabblänkar till datakategorier: vänster navigeringsfält

Datamängderna som presenteras samlas in via olika storskaliga insamlingsmetoder som sinkholning, skanning och honeypots. Du hittar dessa huvudkategorier i det vänstra navigeringsfältet och varje kategorityp symboliseras av en unik ikon.

Målet är att möjliggöra snabbare djupdykningar i specifika kategorier av källor. Exempelvis:

  • Sinkholes – ger en översikt över datamängder som grupperas efter källan sinkhole. Du kan sedan visa ett specifikt sinkholeresultat genom att välja en eller flera taggar.
  • Skanningar – ger en översikt över datamängder som grupperas efter källan scan (denna kategori innehåller skanningsresultat för tjänster som associeras med något slags säkerhetsproblem, du kan även se resultat från befolkningsskanningar genom att välja källan population istället). Du kan sedan visa ett specifikt skanningsresultat genom att välja en eller flera taggar.
  • Honeypots – ger en översikt över datamängder som grupperas efter källan honeypot. Du kan sedan visa ett specifikt honeypot-resultat genom att välja en eller flera taggar.
  • DDoS – ger en översikt över datamängder som grupperas efter källan honeypot_ddos_amp. Detta är DDoS-attacker (överbelastningsattacker) som observerats av unika mål i ett specifikt land/region. Du kan sedan visa en specifik använd förstärkningsmetod genom att välja en eller flera taggar.
  • ICS – ger en översikt över datamängder som grupperas efter källan ics (vilka är skanningsresultat från inbyggda ICS- protokoll). Du kan sedan se de använda inbyggda protokollen genom att välja en eller flera taggar.
  • Webb-CVE:er – ger en översikt över datamängder som grupperas efter http_vulnerable och exchange. Dessa är sårbara webbapplikationer som identifierats i våra skanningar, vanligtvis av CVE. Du kan visa CVE:erna eller påverkade produkter genom att välja en eller flera taggar.

Datamängderna kan delas upp efter land eller landsgrupperingar, regioner och kontinenter.

Varje datamängd beskrivs även i “Om dessa data”.

Observera att det finns fler datamängder tillgängliga än de som presenteras här. Med källan beacon kan du till exempel utforska post-exploaterings-ramverk eller C2-servrar som vi upptäcker i våra skanningar, och med källan compromised_website kan du utforska komprometterade webbslutpunkter som vi ser i våra skanningar.

Övre navigeringfält

I det övre navigeringsfältet hittar du flera olika visualiseringsalternativ för datapresentation, samt för visualisering av datamängder för enhetsidentifiering och attackobservationer.

Allmän statistik

I Allmän statistik kan du visualisera valfri källa och tagg genom att välja:

  • Världskarta – en världskarta som visar valda källor och taggar. Extrafunktioner: möjlighet att byta vy för att se den vanligaste taggen per land och källa, normalisering efter befolkning, BNP, ansluta användare etc. Du kan även välja markörer på kartan för att visa värden per land.
  • Regionkarta – en karta där länderna är uppdelade i regioner och provinser.
  • Jämförelsekarta – en karta där två länder jämförs.
  • Tidsserier – en karta som visar käll- och tagg--kombinationer över tid. Observera att den tillåter olika former av datagrupperingar (inte bara efter land).
  • Visualisering – erbjuder flera sätt att analysera datauppsättningarna på djupet, inklusive genomsnittsvärden över tid. Du kan även välja att visa data i tabeller, stapeldiagram, bubbeldiagram och mer.

Statistik över IoT-enheter (statistik över enhetsidentifiering)

Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild över exponerade slutpunkter grupperade efter exponerade leverantörer och deras produkter, som identifierats i våra skanningar. Data kategoriseras efter leverantör, modell och enhetstyp. Identifieringen sker via olika metoder, bl.a. webbsidors innehåll, SSL/TLS-certifikat, visade banners etc. Datamängderna innehåller endast befolkningsdata, dvs. det görs ingen bedömning av sårbarheter som är associerade med de exponerade slutpunkterna (för att hitta dem väljer du istället källor som http_vulnerable under "Allmän statistik").

Liknande visualiseringsdiagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) leverantörer, modeller och enhetstyper.

Attackstatistik: sårbarheter

Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild av attacker som observerats av vårt honeypot-sensornätverk, med fokus på sårbarheter som används för exploatering. Dessa omfattar bl.a. möjligheten att visa de produkter som attackeras oftast och att utforska hur de attackeras (dvs. via vilken utnyttjad sårbarhet, vilket kan vara en specifik CVE). Du kan även visa diagram baserade på attackernas källa och mål.

Liknande visualiseringsdiagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) leverantörer, sårbarheter samt attackernas källa och destination.

Ytterligare en visualiseringskategori – Övervakning, har också lagts till:

Detta är en tabell som uppdateras dagligen och som visar de vanligaste utnyttjade sårbarheterna grupperade efter unika attackerande käll-IP-adresser (eller försök till attacker som observerats, om du väljer statistikalternativet anslutningsförsök). Data hämtas från vårt honeypot-sensornätverk och grupperas efter utnyttjade sårbarheter. Den inkluderar även kartläggning från CISA:s katalog över kända utnyttjade sårbarheter (bl.a. om sårbarheten är känd för att utnyttjas av en ransomware-grupp) samt huruvida attacken riktar sig mot en IoT-enhet istället för ett serverprogram.

Som standard visas de vanligaste utnyttjade sårbarheterna för hela världen, men du kan även filtrera efter specifika länder eller grupperingar eller välja att visa en avvikelsetabell istället.

Attackstatistik: enheter

Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild av de typer av attackerade enheter som observerats av vårt honeypot-sensornätverk. Signaturinsamling av dessa enheter görs genom våra dagliga skanningar. Datamängderna möjliggör spårning av specifika attacktyper, enhetsleverantörer eller enhetsmodeller och kan filtreras efter land.

Liknande diagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) attacktyp, enhet leverantör eller modell.

Ytterligare en visualiseringskategori – övervakning, har också lagts till:

Detta är en tabell som uppdateras dagligen och som visar de vanligaste attackerande enheterna som observerats av unika attackerande käll-IP-adresser (eller försök till attacker som observerats, om du väljer statistikalternativet anslutningsförsök). Liksom all datamängder som visas i denna kategori hämtas den från vårt honeypot-sensornätverk. Den är grupperad efter observerad attacktyp, leverantör och modell (om tillgängliga). Vi identifierar den attackerande enheten genom att korrelera observerade IP-adresser med resultaten från vår dagliga signaturinsamling genom enhetsskanning (se avsnittet "IoT-enhetsstatistik").

Som standard visas de vanligaste attackerande enheterna (efter källa) som observerats attackera (detta omfattar fall där vi inte kan identifiera en enhet eller t.ex. bara kan identifiera en leverantör). Du kan välja att filtrera efter land eller grupp, eller istället visa en avvikelsetabell.

Utvecklingen av Shadowservers instrumentpanel finansierades av Storbritanniens FCDO. Statistik över signaturinsamling för IoT-enheter och honeypot-attacker medfinansierades av Fonden för ett sammanlänkat Europa (EU:s FSE VARIoT-projekt).

Vi vill rikta ett stort tack till alla våra partners som bidrar med data till Shadowservers instrumentpanel, bland annat: (i alfabetisk ordning) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University och alla som väljer att vara anonyma.

Shadowserver använder cookies för att samla in analysdata. Detta gör det möjligt för oss att se hur webbplatsen används och förbättra upplevelsen för våra användare. Mer information om cookies och hur Shadowserver använder dem finns i vår integritetspolicy. Vi behöver ditt godkännande för att använda cookies på det här sättet på din enhet.