Hiển thị trang tổng quan

Bảng điều khiển Shadowserver trình bày số liệu thống kê cấp cao phản ánh các bộ dữ liệu chính mà Shadowserver thu thập và chia sẻ thông qua các hoạt động hàng ngày của mình trong hơn 100 báo cáo hàng ngày. Các bộ dữ liệu cho phép xác định bề mặt tấn công tiếp xúc, lỗ hổng, cấu hình sai, sự xâm phạm của mạng cũng như quan sát các cuộc tấn công. Dữ liệu được chia sẻ dưới dạng báo cáo chứa thông tin chi tiết cấp IP liên quan đến một mạng hoặc khu vực bầu cử cụ thể. Bảng điều khiển Shadowserver không cho phép mức độ chi tiết này. Thay vào đó nó trình bày số liệu thống kê cấp cao phản ánh các hoạt động này. Điều này cung cấp hiểu biết sâu sắc về các mối đe dọa, lỗ hổng, sự cố mới nổi mới nhất, cung cấp nhận thức tình huống cho cộng đồng rộng lớn hơn trong khi vẫn đảm bảo tính ẩn danh của bất kỳ bên liên quan nào.

Nguồn và thẻ

Việc trình bày dữ liệu được sắp xếp xung quanh nguồn và thẻ. Một nguồn về cơ bản là một nhóm dữ liệu dưới các dạng khác nhau. Các nguồn cơ bản là honeypot, population, scan, sinkhole. Cả phổ biến và quét đều là các tập dữ liệu dựa trên việc quét với phổ biến là số điểm cuối tiếp xúc mà không có đánh giá về lỗ hổng/bảo mật. Hậu tố 6 biểu thị dữ liệu IPv6 (tất cả các bản ghi không có hậu tố đều đề cập đến dữ liệu IPv4).

Các nguồn có thể có các thẻ liên kết với chúng để cung cấp ngữ cảnh bổ sung cho dữ liệu được trình bày. Ví dụ: thẻ cho scan sẽ bao gồm các loại quét thực tế khác nhau (ví dụ: dịch vụ/giao thức đang được quét như telnet, ftp và rdp). Thẻ cho sinkhole sẽ phản ánh các họ phần mềm độc hại thực tế đang kết nối với sinkhole (tức là các máy chủ bị nhiễm một loại phần mềm độc hại như adload, andromeda và necurs).

Thẻ cung cấp thông tin chi tiết bổ sung về dữ liệu được trình bày.

Ngoài ra, chúng tôi cũng giới thiệu các nhóm nguồn bổ sung để phản ánh tốt hơn khả năng quan sát trên các máy chủ dễ bị tấn công hoặc dễ bị xâm phạm - ví dụ: http_vulnerable hoặc compromised_website. Chúng thường chứa các thẻ phản ánh các lỗ hổng CVE cụ thể, nhà cung cấp hoặc sản phẩm bị ảnh hưởng hoặc thông tin về các backdoors, webshell hoặc ứng dụng cắm (implants seen). Ví dụ cho http_vulnerable sẽ là citrix hoặc cve-2023-3519.

Cuối cùng, khi chúng tôi thêm nhiều phát hiện hơn vào tập dữ liệu của mình, chúng tôi sẽ có nhiều thẻ hơn. Điều này có nghĩa là các danh mục nguồn mới có thể xuất hiện để bạn lựa chọn. Ví dụ: mặc dù snmp là một thẻ có trên nguồn scan, nó cũng được mô tả như một nguồn. Điều này cho phép chúng tôi trình bày kết quả quét snmp chi tiết hơn, cho phép xem kết quả quét snmp cụ thể có liên quan đến lỗ hổng như cve-2017-6736.

Liên kết nhanh đến các danh mục dữ liệu: Thanh điều hướng trái

Các bộ dữ liệu hiển thị được thu thập thông qua nhiều phương pháp thu thập quy mô lớn khác nhau bao gồm sink, quét và honeypots. Các danh mục chính này của bộ dữ liệu được chia sẻ trên thanh điều hướng trái, mỗi loại danh mục được ký hiệu bằng một biểu tượng khác nhau.

Mục đích là để cho phép tìm hiểu sâu hơn về các danh mục nguồn cụ thể nhanh hơn. Ví dụ:

• Các sinkhole - cung cấp thông tin tổng quan về các tập dữ liệu được nhóm theo nguồn sinkhole. Sau đó, bạn có thể xem kết quả sinkhole cụ thể bằng cách chọn thẻ hoặc nhóm thẻ.
• Quét - cung cấp tổng quan về các tập dữ liệu được nhóm theo nguồn scan (danh mục này chứa các kết quả quét cho các dịch vụ có một số loại vấn đề bảo mật liên quan đến chúng, bạn cũng có thể xem kết quả quét tổng thể bằng cách chọn nguồn population). Sau đó, bạn có thể xem kết quả quét cụ thể bằng cách chọn thẻ hoặc nhóm thẻ.
• Các honeypot - cung cấp thông tin tổng quan về các tập dữ liệu được nhóm theo nguồn honeypot. Sau đó, bạn có thể xem kết quả honeypot cụ thể bằng cách chọn thẻ hoặc nhóm thẻ.
• DDoS - cung cấp thông tin tổng quan về các tập dữ liệu được nhóm theo nguồn honeypot_ddos_amp. Đây là các cuộc tấn công DDoS khuếch đại được thực hiện bởi các mục tiêu riêng biệt ở một quốc gia/khu vực cụ thể. Sau đó, bạn có thể xem các phương pháp khuếch đại cụ thể đã sử dụng bằng cách chọn thẻ hoặc nhóm thẻ.
• ICS - cung cấp thông tin tổng quan về các tập dữ liệu được nhóm theo nguồn ics (là kết quả quét của các giao thức Hệ Thống Điều Khiển Công Nghiệp (Industrial Control Systems) gốc). Sau đó, bạn có thể xem các giao thức gốc đã sử dụng bằng cách chọn thẻ hoặc nhóm thẻ.
• Trang Web CVEs - cung cấp thông tin tổng quan về các tập dữ liệu được nhóm theo http_vulnerable và exchange. Đây là những ứng dụng web dễ bị tấn công được xác định trong quá trình quét của chúng tôi, thường là bởi CVE. Bạn có thể xem CVE hoặc các sản phẩm bị ảnh hưởng bằng cách chọn thẻ hoặc nhóm thẻ.

Các bộ dữ liệu có thể được chia nhỏ theo quốc gia hoặc nhóm quốc gia, khu vực và châu lục.

Mỗi tập dữ liệu cũng được mô tả trong phần “Giới thiệu về dữ liệu này”.

Xin lưu ý rằng có nhiều bộ dữ liệu khả dụng ngoài những bộ dữ liệu được đánh dấu. Ví dụ: nguồn beacon sẽ cho phép bạn khám phá các khung C2 sau khai thác mà chúng tôi thấy trong các lần quét của mình và nguồn compromised_website sẽ cho phép bạn khám phá các điểm cuối web bị xâm phạm được thấy trong các lần quét của chúng tôi.

Thanh điều hướng đầu trang

Thanh điều hướng đầu trang cho phép nhiều tùy chọn trực quan hóa khác nhau để trình bày dữ liệu, cũng như trực quan hóa nhận dạng thiết bị và bộ dữ liệu quan sát tấn công.

Thống kê chung

Số liệu thống kê chung bao gồm khả năng hiển thị bất kỳ nguồn và thẻ nào bằng cách chọn:

• Bản đồ thế giới - hiển thị bản đồ thế giới với các nguồn và thẻ đã chọn. Các tính năng bổ sung bao gồm: khả năng chuyển đổi hiển thị để hiển thị thẻ phổ biến nhất tại mỗi quốc gia trên mỗi nguồn, chuẩn hóa theo dân số, GDP, kết nối người dùng, v.v. Bạn cũng có thể chọn các điểm đánh dấu trên bản đồ để hiển thị giá trị cho mỗi quốc gia.
• Bản đồ khu vực - hiển thị bản đồ cấp quốc gia với các quốc gia được chia thành các vùng và tỉnh.
• Bản đồ so sánh - bản đồ so sánh của hai nước.
• Chuỗi thời gian - biểu đồ hiển thị các kết hợp nguồn và thẻ theo thời gian. Lưu ý rằng nó cho phép các dạng nhóm dữ liệu khác nhau (không chỉ theo quốc gia).
• Hiển thị trực quan - cung cấp nhiều tùy chọn khác nhau để đi sâu vào bộ dữ liệu, bao gồm cả giá trị trung bình theo thời gian. Cho phép hiển thị dữ liệu dưới dạng bảng, biểu đồ thanh, sơ đồ bong bóng và hơn thế nữa.

Thống kê thiết bị IoT (thống kê nhận dạng thiết bị)

Tập dữ liệu này và các hình ảnh trực quan liên quan cung cấp ảnh chụp nhanh hàng ngày về các điểm cuối được nhóm theo các nhà cung cấp và các sản phẩm của họ được xác định thông qua quá trình quét của chúng tôi. Dữ liệu được phân loại theo nhà cung cấp, kiểu máy và loại thiết bị. Chúng được xác định thông qua nhiều phương tiện khác nhau, bao gồm nội dung trang web, chứng chỉ SSL/TLS, biểu ngữ được hiển thị, v.v. Bộ dữ liệu chỉ chứa dữ liệu dân số, tức là không có đánh giá nào được thực hiện về bất kỳ lỗ hổng nào liên quan đến các điểm cuối tiếp xúc (để tìm những lỗ hổng đó, hãy chọn các nguồn như http_vulnerable trong phần “Thống kê chung”).

Có các biểu đồ trực quan tương tự như trong “Thống kê chung”, với điểm khác biệt là thay vì sử dụng nguồn và thẻ, bạn có thể xem (và nhóm theo) nhà cung cấp, kiểu máy và loại thiết bị.

Thống kê tấn công: Lỗ hổng

Tập dữ liệu này và các hình ảnh trực quan liên quan cung cấp ảnh chụp nhanh hàng ngày về các cuộc tấn công mà mạng cảm biến honeypot của chúng tôi nhìn thấy, tập trung vào các lỗ hổng đã khai thác. Chúng bao gồm khả năng xem các sản phẩm bị tấn công thường xuyên nhất và khám phá cách chúng bị tấn công (tức là lỗ hổng nào bị tiếp xucd, có thể bao gồm cả CVE cụ thể đang bị tiếp xúc). Bạn cũng có thể xem biểu đồ theo nguồn gốc của các cuộc tấn công và điểm đến.

Có các biểu đồ trực quan tương tự như trong “Thống kê chung”, với điểm khác biệt là thay vì sử dụng nguồn và thẻ, bạn có thể xem (và nhóm theo) nhà cung cấp, lỗ hổng cũng như nguồn và đích của các cuộc tấn công.

Một danh mục bổ xung trực quan - Giám sát, cũng đã được thêm vào:

Đây là bảng cập nhật hàng ngày về hầu hết các lỗ hổng bị khai thác phổ biến nhất được nhóm theo các IP nguồn duy nhất được quan sát thấy trong cuộc tấn công (hoặc các nỗ lực tấn công đã quết được, nếu bạn chọn tùy chọn thống kê số lần thử kết nối). Dữ liệu được lấy từ mạng cảm biến honeypot của chúng tôi. Dữ liệu được nhóm theo các lỗ hổng bị khai thác. Nó cũng bao gồm các bản đồ về lỗ hổng bị khai thác đã biết của CISA (bao gồm cả việc liệu nó có bị nhóm ransomware khai thác hay không) cũng như liệu cuộc tấn công có nhằm vào thiết bị IoT chứ không phải ứng dụng máy chủ hay không.

Theo mặc định, màn hình hiển thị các lỗ hổng phổ biến nhất được khai thác trên toàn thế giới, bạn cũng có thể lọc để xem theo quốc gia hoặc nhóm cụ thể hoặc hiển thị bảng bất thường.

Thống kê tấn công: Thiết bị

Tập dữ liệu này và các hình ảnh trực quan liên quan cung cấp ảnh chụp nhanh hàng ngày về các loại thiết bị tấn công mà mạng cảm biến honeypot của chúng tôi quét được. Việc lấy dấu vân tay của các thiết bị này được thực hiện thông qua quá trình quét hàng ngày của chúng tôi. Các bộ dữ liệu cho phép theo dõi các kiểu tấn công, nhà cung cấp hoặc kiểu máy cụ thể và có thể được lọc theo quốc gia.

Có các biểu đồ tương tự như trong “Thống kê chung”, với điểm khác biệt là thay vì sử dụng nguồn và thẻ, bạn có thể xem (và nhóm theo) loại tấn công, nhà cung cấp thiết bị hoặc kiểu máy.

Một danh mục bổ xung trực quan - giám sát, cũng đã được thêm vào:

Đây là bảng cập nhật hàng ngày về hầu hết các thiết bị tấn công phổ biến bởi các IP nguồn duy nhất được quan sát thấy khi tấn công (hoặc các nỗ lực tấn công, nếu bạn chọn tùy chọn thống kê số lần thử kết nối). Như trong tất cả các tập dữ liệu được hiển thị trong danh mục này, nó có nguồn gốc từ mạng cảm biến honeypot của chúng tôi. Nó được nhóm theo kiểu tấn công, nhà cung cấp và kiểu máy (nếu có). Chúng tôi xác định thiết bị tấn công bằng cách so sánh các IP quét được với kết quả quét dấu vân tay thiết bị hàng ngày của chúng tôi (xem phần “thống kê thiết bị IoT”).

Theo mặc định, màn hình hiển thị các thiết bị tấn công phổ biến nhất (theo nguồn) đang tấn công (điều này bao gồm các trường hợp chúng tôi không thể xác định được thiết bị hoặc ví dụ: chỉ xác định được nhà cung cấp). Thay vào đó, bạn có thể chọn lọc theo quốc gia hoặc nhóm cụ thể hoặc hiển thị bảng bất thường.