Довідка

Загальна довідка

Огляд інформаційної панелі

Інформаційна панель Shadowserver представляє високорівневу статистику, що відображає основні набори даних, які Shadowserver збирає та поширює у ході своєї щоденної роботи в понад 100 щоденних звітах. Набори даних дають змогу ідентифікувати незахищені поверхні для атаки, вразливості, неправильні конфігурації, порушення безпеки мереж, а також спостереження за атаками. Дані, надані у вигляді звітів, містять детальну інформацію на рівні IP-адрес щодо конкретної мережі або групи користувачів. Інформаційна панель Shadowserver не підтримує такий рівень деталізації. Натомість вона представляє високорівневу статистику, яка відображає цю діяльність. Це дає змогу отримати уявлення про найновіші загрози, вразливості та інциденти, забезпечуючи обізнаність у ситуації для широкої спільноти та зберігаючи при цьому анонімність усіх залучених сторін.

Джерела й теги

Представлення даних організовано навколо джерел і тегів. Джерело — це, по суті, угруповання даних певної форми. Основні джерела: honeypot, population, scan, sinkhole. І популяція, і сканування є наборами даних на основі сканування, причому популяція є підрахунком кінцевих точок незахищеності без оцінки вразливості/безпеки. Суфікс 6 позначає дані IPv6 (усі записи без суфікса стосуються даних IPv4).

Джерела можуть мати теги, пов’язані з ними, які надають додатковий контекст для представлення даних. Наприклад, теги для scan включатимуть фактичні різні типи сканування (тобто служби/протоколи, які скануються, як-от telnet, ftp та rdp). Теги для sinkhole відображатимуть фактичні сімейства зловмисних програм, які підключаються до сінкхолу (тобто хости, заражені типом сімейства зловмисних програм, як-от adload, andromeda та necurs).

Теги надають додаткову інформацію про представлені дані.

Крім того, ми також вводимо додаткові угруповання джерел, щоб краще відображати спостереження за вразливими або скомпрометованими хостами, наприклад http_vulnerable або compromised_website. Зазвичай вони містять теги, які відображають конкретні вразливості CVE, постачальників і продукти, яких це стосується, або інформацію про бекдори, вебоболонки чи програми-закладки. Прикладом http_vulnerable може бути citrix або cve-2023-3519.

Нарешті, коли ми додаємо до наших наборів даних більше виявлень, ми отримуємо більше тегів. Це означає, що можуть з’являтися нові категорії джерел на вибір. Наприклад, хоча snmp є тегом, присутнім у scan джерела, він також відображається як джерело. Завдяки цьому ми можемо надавати деталізованіші результати сканування SNMP, які дають змогу переглядати конкретні результати сканування SNMP, пов’язані з вразливістю, як-от cve-2017-6736.

Швидкі посилання на категорії даних: Ліва панель навігації

Представлені набори даних зібрані за допомогою різних методів масштабного збору, включно із сінкхолінгом, скануванням і ханіпотами. Ці основні категорії наборів даних відображаються на лівій панелі навігації, при цьому кожен тип категорії позначається окремим значком.

Це зроблено для забезпечення швидшого занурення в конкретні категорії джерел. Наприклад:

  • Сінкхоли — надає огляд наборів даних, згрупованих за джерелом sinkhole. Потім ви можете переглянути результат конкретного сінкхолу, вибравши тег або групу тегів.
  • Сканування — надає огляд наборів даних, згрупованих за джерелом scan (ця категорія містить результати сканування для служб, які мають певну проблему з безпекою, пов’язану з ними; ви також можете переглянути результати сканування сукупності, натомість вибравши джерело population). Потім ви можете переглянути результат конкретного сканування, вибравши тег або групу тегів.
  • Ханіпоти — надає огляд наборів даних, згрупованих за джерелом honeypot. Потім ви можете переглянути результат конкретного ханіпоту, вибравши тег або групу тегів.
  • DDoS — надає огляд наборів даних, згрупованих за джерелом honeypot_ddos_amp. Це ампліфіковані DDoS-атаки, які спостерігаються унікальними цілями в певній країні/регіоні. Потім ви можете переглянути конкретний використаний метод ампліфікації, вибравши тег або групу тегів.
  • ICS — надає огляд наборів даних, згрупованих за джерелом ics (які є результатами сканування нативних протоколів промислових систем керування). Потім ви можете переглянути використані нативні протоколи, вибравши тег або групу тегів.
  • Вебвразливості CVE — надає огляд наборів даних, згрупованих за http_vulnerable та exchange. Це вразливі вебпрограми, визначені під час наших сканувань, зазвичай, CVE. Ви можете переглянути CVE або уражені продукти, вибравши тег або групу тегів.

Набори даних можна розбивати за країнами або угрупованнями країн, регіонами й континентами.

Кожен набір даних також описаний у блоці «Про ці дані».

Зверніть увагу, що доступні й інші набори даних, окрім виділених. Наприклад, джерело beacon дасть вам змогу досліджувати C2-фреймворків після використання, які ми бачимо в наших скануваннях, а за джерелом compromised_website ви зможете досліджувати скомпрометовані кінцеві вебточки, виявлені в наших скануваннях.

Верхня панель навігації

Верхня панель навігації дає змогу використовувати різні параметри візуалізації для представлення даних, а також для візуалізації наборів даних ідентифікації пристроїв і спостереження за атаками.

Загальна статистика

Загальна статистика дає можливість візуалізації будь-якого джерела та тегу за вибором:

  • Карта світу — відображення карти світу з вибраними джерелами й тегами. Додаткові функції: можливість перемикання відображення для показу найпоширенішого тегу для кожної країни за джерелом, нормалізації за популяцією, ВВП, підключення користувачів тощо. Також можна вибрати маркери на карті, щоб відобразити значення для кожної країни.
  • Карта регіону — відображення карти на рівні країни з поділом країн на регіони та провінції.
  • Порівняльна карта — карта порівняння двох країн.
  • Часовий ряд — діаграма, що показує комбінації джерела й тегу протягом певного часу. Зверніть увагу, що дані можна групувати різними способами (не лише за країнами).
  • Візуалізація — пропонує різні параметри деталізації наборів даних, включаючи середні значення за певний час. Дає змогу відображати дані у вигляді таблиць, стовпчикових діаграм, бульбашкових діаграм тощо.

Статистика пристроїв інтернету речей (статистика ідентифікації пристроїв)

Цей набір даних і пов’язані візуалізації надають щоденний знімок незахищених кінцевих точок, згрупованих за незахищеними постачальниками та їхніми продуктами, ідентифікованими під час наших сканувань. Дані класифікуються за постачальником, моделлю та типом пристрою. Вони ідентифікуються за допомогою різних засобів, зокрема вмісту вебсторінок, сертифікатів SSL/TLS, відображених банерів тощо. Набори даних містять лише дані про популяцію, тобто не проводиться оцінка жодних вразливостей, пов’язаних із незахищеними кінцевими точками (щоб знайти їх, виберіть джерела, наприклад http_vulnerable, у розділі «Загальна статистика»).

Існують аналогічні до розділу «Загальна статистика» діаграми візуалізації, з тією відмінністю, що замість використання джерел і тегів можна переглянути постачальників, моделі та типи пристроїв (і групувати за ними).

Статистика атак: Вразливості

Цей набір даних і пов’язані візуалізації надають щоденний знімок атак, зафіксованих нашою мережею датчиків-ханіпотів, з акцентом на вразливостях, які використовуються для експлойту. Сюди належить можливість переглядати продукти, які найчастіше атакуються, і досліджувати, як вони атакуються (тобто через яку використану вразливість, що може включати конкретний CVE, що використовується). Ви також можете переглядати діаграми за джерелами атак і їхніми призначення.

Існують аналогічні до розділу «Загальна статистика» діаграми візуалізації, з тією відмінністю, що замість використання джерел і тегів можна переглянути постачальника, вразливість, а також джерело й призначення атак (і групувати за ними).

Також додано нову категорію візуалізації «Моніторинг»:

Це щоденно оновлювана таблиця найпоширеніших вразливостей у використанні, згрупованих за унікальними IP-адресами джерел, які спостерігалися під час атаки (або зафіксованих спроб атак, якщо вибрано параметр статистики спроб підключення). Дані отримано з нашої мережі датчиків-ханіпотів. Дані згруповано за використаними вразливостями. Вони також включають зіставлення відомих використаних вразливостей CISA (зокрема інформацію про те, чи відомо, що вона використовується групою програм-вимагачів), а також інформацію про те, чи атака спрямована на пристрій інтернету речей, а не на серверну програму.

За замовчуванням на дисплеї відображаються найпоширеніші вразливості, які використовуються в усьому світі, але також можна фільтрувати за конкретною країною чи угрупованням або відобразити таблицю аномалій.

Статистика атак: Пристрої

Цей набір даних і пов’язані візуалізації надають щоденний знімок типів атакуючих пристроїв, які фіксує наша мережа датчиків-ханіпотів. Цифрові відбитки цих пристроїв створюються за допомогою наших щоденних сканувань. Набори даних дають змогу відстежувати конкретні типи атак, постачальників або моделі пристроїв і можуть відфільтровуватися за країною.

Існують аналогічні до розділу «Загальна статистика» діаграми, з тією відмінністю, що замість використання джерел і тегів можна переглянути тип, постачальника чи модель пристрою (і групувати за ними).

Також додано нову категорію візуалізації «Моніторинг»:

Це щоденно оновлювана таблиця найпоширеніших атакуючих пристроїв, зафіксованих за унікальними IP-адресами джерел, які спостерігалися під час атаки (або зафіксованих спроб атак, якщо вибрано параметр статистики спроб підключення). Як і всі набори даних, представлені в цій категорії, вона отримана з нашої мережі датчиків-ханіпотів. Вона згрупована за типом виявленої атаки, постачальником і моделлю (якщо ці дані доступні). Ми визначаємо атакуючий пристрій, зіставляючи зафіксовані IP-адреси з результатами щоденного сканування цифрових відбитків пристроїв (див. розділ «Статистика пристроїв інтернету речей»).

За замовчуванням на дисплеї відображаються найпоширеніші атакуючі пристрої (за джерелом), виявлені під час атаки (включно з випадками, коли ми не можемо ідентифікувати пристрій або, наприклад, ідентифікуємо тільки постачальника). Можна вибрати фільтрацію за конкретною країною чи угрупованням або відобразити таблицю аномалій.

Розробку інформаційної панелі Shadowserver профінансувало МЗС Сполученого Королівства. Статистика цифрових відбитків пристроїв інтернету речей і статистика атак на ханіпоти співфінансовані Механізмом Сполучення Європи (Connecting Europe Facility, CEF) Європейського Союзу (проєкт EU CEF VARIoT).

Ми хотіли б подякувати всім нашим партнерам, які люб’язно зробили свій внесок у дані, що використовуються на інформаційній панелі Shadowserver, зокрема (в алфавітному порядку) APNIC Community Feeds, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Національний університет Йокогами та всім тим, хто вирішив залишитися анонімним.

Shadowserver використовує файли cookie для збору аналітичних даних. Це дає нам змогу вимірювати, як використовується сайт, і покращувати його для наших користувачів. Щоб дізнатися більше про файли cookie та про те, як Shadowserver їх використовує, перегляньте нашу політику конфіденційності. Нам потрібна ваша згода на таке використання файлів cookie на вашому пристрої.