Oorsig van instrumentbord
Die Shadowserver-instrumentbord bied hoëvlakstatistieke aan wat die hoofdatastelle weerspieël wat Shadowserver in sy daaglikse aktiwiteite in meer as 100 daaglikse verslae insamel en deel. Die datastelle maak voorsiening vir die identifisering van die blootgestelde aanvaloppervlak, kwesbaarhede, verkeerde opstellings, kompromieë van netwerke asook waarnemings van aanvalle. Die data, wat in die vorm van verslae gedeel word, bevat gedetailleerde IP-vlakinligting rakende ’n spesifieke netwerk of samestelling. Die Shadowserver-instrumentbord maak nie voorsiening vir hierdie vlak van granulariteit nie. Dit bied eerder hoëvlakstatistieke aan wat hierdie aktiwiteite weerspieël. Dit laat insigte toe in die jongste opkomende bedreigings, kwesbaarhede, insidente wat omstandigheidsbewustheid aan die breër gemeenskap bied, terwyl die anonimiteit van enige betrokke partye behoue bly.
Bronne en merkers
Dataaanbieding word georganiseer rondom bronne en merkers. ’n Bron is in wese ’n datagroepering van een of ander vorm. Die basiese bronne is honeypot
, population
, scan
, sinkhole
. Beide populasie en skandering is skanderingsgebaseerde datastelle met populasie wat ’n blootstellingseindpunttelling sonder ’n kwesbaarheid-/sekuriteitsevaluering is. ’n 6
-agtervoegsel verteenwoordig IPv6-data (alle inskrywings sonder die agtervoegsel verwys na IPv4-data).
Bronne kan merkers hê wat met dit geassosieer word wat bykomende konteks verskaf vir die data wat aangebied word. Merkers vir scan
sal byvoorbeeld die werklike verskillende skanderingsoorte insluit (bv. dienste/protokolle wat geskandeer word soos telnet
, ftp
en rdp
). Merkers vir sinkhole
sal die werklike wanware-families weerspieël wat aan ’n afvoerput gekoppel word (d.w.s. gashere wat deur ’n wanware-familiesoort soos adload
, andromeda
en necurs
) besmet is.
Merkers verskaf bykomende insigte oor die data wat aangebied word.
Boonop stel ons ook bykomende brongroeperings bekend om waarnemings oor kwesbare of gekompromitteerde gashere beter te weerspieël – byvoorbeeld http_vulnerable
of compromised_website
. Dit sal tipies merkers bevat wat spesifieke CVE-kwesbaarhede, verskaffers of produkte wat geraak word, of inligting oor agterdeure, webdoppe of inplantings wat waargeneem word, weerspieël. ’n Voorbeeld van http_vulnerable
is citrix
of cve-2023-3519
.
Soos wat ons uiteindelik meer bespeurings by ons datastelle voeg, eindig ons met meer merkers op. Dit beteken dat daar moontlik nuwe bronkategorieë kan wees om van te kies. Byvoorbeeld, alhoewel snmp
’n merker is wat op bron scan
teenwoordig is, word dit ook as ’n bron gewys. Dit stel ons in staat om meer granulêre snmp-skanderingresultate aan te bied wat dit moontlik maak om spesifieke snmp-skanderingresultate te bekyk wat met ’n kwesbaarheid soos cve-2017-6736
geassosieer word.
Kitsskakels na datakategorieë: Linker navigasiebalk
Die datastelle wat aangebied word, word ingesamel deur middel van verskeie grootskaalse insamelingsmetodes, insluitend afvoerputte, skandering en heuningpotte. Hierdie hoofkategorieë van die datastelle word op die linker navigasiebalk gedeel, met elke soort kategorie wat deur ’n ander ikoon gesimboliseer word.
Die doelwit is om die ontleding van bepaalde bron-kategorieë vinniger te maak. Byvoorbeeld:
-
Afvoerputte – bied ’n oorsig van datastelle wat volgens bron
sinkhole
gegroepeer is. Jy kan dan ’n spesifieke afvoerputresultaat bekyk deur ’n merker of groep merkers te kies. -
Skanderings – bied ’n oorsig van datastelle wat volgens bron
scan
gegroepeer is (hierdie kategorie bevat skanderingsresultate vir dienste wat ’n soort sekuriteitskwessie daarmee geassosieer het, jy kan ook populasieskanderingresultate sien deur eerder bronpopulation
te kies). Jy kan dan ’n spesifieke skanderingresultaat bekyk deur ’n merker of groep merkers te kies. -
Heuningpotte – bied ’n oorsig van datastelle wat volgens bron
honeypot
gegroepeer is. Jy kan dan ’n bepaalde heuningpotresultaat bekyk deur ’n merker of groep merkers te kies. -
DDoS – bied ’n oorsig van datastelle wat volgens bron
honeypot_ddos_amp
gegroepeer is. Dit is DDoS-versterkingsaanvalle wat deur unieke teikens in ’n spesifieke land/streek waargeneem word. Jy kan dan ’n spesifieke versterkingsmetode bekyk wat gebruik word deur 'n merker of groep merkers te kies. -
ICS – bied ’n oorsig van datastelle wat volgens bron
ics
gegroepeer is (wat skanderingsresultate van inheemse protokolle van industriële beheerstelsels is). Jy kan dan die inheemse protokolle bekyk wat gebruik word deur ’n merker of groep merkers te kies. -
Web-CVE's – bied ’n oorsig van datastelle wat volgens
http_vulnerable
enexchange
gegroepeer is. Dit is kwesbare webtoepassings wat in ons skanderings gewoonlik deur CVE geïdentifiseer word. Jy kan die CVE's of geraakte produkte bekyk deur ’n merker of groep merkers te kies.
Die datastelle kan volgens land of landgroeperings, streke en kontinente verdeel word.
Elke datastel word ook in "Inligting oor hierdie data" beskryf.
Neem kennis dat daar meer datastelle beskikbaar is behalwe dié wat uitgelig is. Byvoorbeeld, bron beacon
sal jou toelaat om C2-nauitbuitingsraamwerke wat ons in ons skanderings sien te verken, en bron compromised_website
sal jou toelaat om gekompromitteerde webeindpunte te verken wat in ons skanderings gesien word.
Boonste navigasiebalk
Die boonste navigasiebalk maak voorsiening vir verskeie visualiseringsopsies vir data-aanbieding, asook vir visualisering van toestelidentifikasie en aanvalwaarnemingsdatastelle.
Algemene statistieke
Algemene statistieke sluit die vermoë in om enige bron en merker te visualiseer deur die volgende te kies:
- Wêreldkaart – ’n skerm met ’n wêreldkaart wat gekose bronne en merkers vertoon. Ekstra kenmerke sluit in: die vermoë om van skerms te verander om die mees algemene merker per land per bron te wys, normalisering volgens populasie, BBP, gekoppelde gebruikers, ens. Jy kan ook merkers op die kaart kies om waardes per land te wys.
- Streekskaart – ’n landvlakkaart wat lande vertoon wat in streke en provinsies verdeel is.
- Vergelykingskaart – ’n vergelykingskaart van twee lande.
- Tydreeks – ’n grafiek wat kombinasies van bron en merker met verloop van tyd vertoon. Let wel dat dit verskillende vorme van datagroeperings moontlik maak (nie net volgens land nie).
- Visualisering – bied verskeie opsies om die datastelle te ontleed, insluitend die gemiddeld van waardes met verloop van tyd. Dit maak dit moontlik om data in die vorm van tabelle, staafgrafieke, borreldiagramme en meer te vertoon.
Statistieke vir IvD-toestelle (statistieke vir toestelidentifikasie)
Hierdie datastel en gepaardgaande visualiserings bied ’n daaglikse skermskoot van blootgestelde eindpunte wat deur blootgestelde verskaffers gegroepeer is en hul produkte wat deur ons skanderings geïdentifiseer word. Data word deur verskaffer, model en toestelsoort gekategoriseer. Dit word op verskeie maniere geïdentifiseer, insluitend webbladinhoud, SSL/TLS-sertifikate, baniere wat vertoon word, ens. Die datastelle bevat net populasiedata, bv. geen assessering word gemaak van enige kwesbaarhede wat met die blootgestelde eindpunte geassosieer word nie (om dit te kry, kies eerder onder “Algemene statistieke” bronne soos byvoorbeeld http_vulnerable
).
Soortgelyke visualiseringsgrafieke soos in "Algemene statistieke" bestaan, met die verskil dat in plaas van om bronne en merkers te gebruik, jy eerder inbringers, modelle en toestelsoorte kan bekyk (en volgens groepeer).
Aanvalstatistieke: Kwesbaarhede
Hierdie datastel en gepaardgaande visualiserings bied ’n daaglikse skermskoot van aanvalle wat deur ons heuningpotsensornetwerk waargeneem word, met die fokus op kwesbaarhede wat vir uitbuiting gebruik word. Dit sluit die vermoë in om produkte te bekyk wat die meeste aangeval word en om te verken hoe hulle aangeval word (d.w.s. deur watter uitgebuite kwesbaarheid, wat bepaalde CVE kan insluit wat uitgebuit word). Jy kan ook grafieke volgens die bron van die aanvalle en bestemmings bekyk.
Soortgelyke visualiseringsgrafieke soos in "Algemene statistieke" bestaan, met die verskil dat in plaas van om bronne en merkers te gebruik, jy inbringer, kwesbaarheid asook bron en bestemming van die aanvalle kan bekyk (en volgens groepeer).
’n bykomende visualiseringskategorie – monitering is ook bygevoeg:
Dit is ’n bygewerkte daaglikse tabel van die mees algemene uitgebuite kwesbaarhede, wat volgens aanvalle van unieke bron-IP-adresse waargeneem word (of aanvalpogings wat waargeneem word as jy die verbindingspogings se opsie vir statistiek kies). Data word van ons heuningpotsensornetwerk verkry. Data word volgens uitgebuite kwesbaarhede gegroepeer. Dit sluit ook CISA-karterings van bekende uitgebuite kwesbaarheid in (insluitend of dit daarvoor bekend is om deur ’n lospryswaregroep uitgebuit te word) asook of die aanval teen ’n IvD-toestel eerder as ’n bedienertoepassing is.
Die skerm wys by verstek die mees algemene kwesbaarhede wat vir die hele wêreld uitgebuit word, maar jy kan ook volgens spesifieke land of groepering filtreer of eerder 'n onreëlmatigheidstabel vertoon.
Aanvalstatistieke: Toestelle
Hierdie datastel en gepaardgaande visualiserings bied ’n daaglikse skermskoot van die soorte aanvaltoestelle wat deur ons heuningpotsensornetwerk waargeneem word. Vingerafdrukke van hierdie toestelle word deur ons daaglikse skanderings gedoen. Die datastelle maak voorsiening vir die nasporing van spesifieke aanvalsoorte, toestelvervaardigers of -modelle en kan volgens land gefiltreer word.
Soortgelyke grafieke soos in "Algemene statistieke" bestaan, met die verskil dat in plaas van om bronne en merkers te gebruik, jy eerder die aanval-soort, toestel- verskaffer of model kan bekyk (en volgens groepeer).
’n bykomende visualiseringskategorie – monitering is ook bygevoeg:
Dit is ’n bygewerkte daaglikse tabel van die mees algemene uitgebuite kwesbaarhede, wat volgens aanvalle van unieke bron-IP-adresse waargeneem word (of aanvalpogings wat waargeneem word as jy die verbindingspogings se opsie vir statistiek kies). Soos in alle datastelle wat in hierdie kategorie vertoon word, word dit van ons heuningpotsensornetwerk verkry. Dit word gegroepeer volgens aanvalsoort wat waargeneem word, verskaffer en model (indien beskikbaar). Ons bepaal die aanvaltoestel deur IP-adresse wat waargeneem word, met die resultate van ons daaglikse toestelskandering se vingerafdrukke te korreleer (sien die afdeling oor "IvD-toestelstatistieke").
Die skerm wys by verstek die mees algemene aanvaltoestelle (volgens bron) wat waargeneem word wanneer dit aanval (dit sluit gevalle in waar ons nie ’n toestel kan identifiseer nie of byvoorbeeld net ’n verskaffer kan identifiseer). Jy kan kies om volgens spesifieke land of groepering te filtreer of eerder ’n onreëlmatigheidstabel vertoon.