Dashboard overview
تقدم لوحة بيانات Shadowserver إحصاءات على مستوى عالٍ تعكس مجموعات البيانات الرئيسية التي تجمعها Shadowserver وتشاركها من خلال أنشطتها اليومية في أكثر من 100 تقرير يومي. تسمح مجموعات البيانات بتحديد سطح الهجوم المكشوف، والثغرات الأمنية، والتكوينات الخاطئة، وعمليات اختراق الشبكات، وملاحظات الهجمات. وتتضمن البيانات المتبادلة في شكل تقارير معلومات تفصيلية عن الـ IP فيما يتعلق بشبكة أو جهة معينة. ولا تسمح لوحة بيانات Shadowserver بهذا المستوى من الدقة. وهي، بدلًا من ذلك، تقدم إحصاءات على مستوى رفيع تعكس هذه الأنشطة. ويتيح ذلك رؤى حول أحدث التهديدات الناشئة والثغرات الأمنية والحوادث التي توفر الوعي بالموقف للمجتمع الأوسع، مع الحفاظ على عدم الكشف عن هوية أي أطراف معنية.
Sources and tags
يتم تنظيم عرض البيانات حول المصادر والعلامات. المصدر هو في الأساس تجميع للبيانات بشكل ما. المصادر الأساسية هي honeypot
و population
وscan
و sinkhole
. ويُعد كلُ من السكان والمسح مجموعات بيانات قائمة على المسح، حيث يمثل السكان عدد نقاط نهاية التعرض دون تقييم للثغرة الأمنية/الأمان. تمثل اللاحقة 6
بيانات IPv6 (تشير كافة الإدخالات التي لا تحتوي على هذه اللاحقة إلى بيانات IPv4).
قد تحتوي المصادر على علامات مرتبطة بها توفر سياقًا إضافيًا للبيانات المقدمة. على سبيل المثال، تشمل علامات scan
أنواع الفحص الفعلية المختلفة (أي الخدمات/البروتوكولات التي يتم فحصها مثل telnet
وftp
وrdp
). وتعكس علامات sinkhole
عائلات البرامج الضارة الفعلية المتصلة بالبالوعة (أي المضيفين المصابين بنوع من عائلة البرامج الضارة مثل adload
وandromeda
وnecurs
).
توفر العلامات رؤى إضافية حول البيانات التي يتم تقديمها.
بالإضافة إلى ذلك، نحن نقدم أيضًا مجموعات مصادر إضافية لتعكس بشكل أفضل الملاحظات المتعلقة بالمضيفين المصابين بثغرات أو المختَرقين - على سبيل المثال، http_vulnerable
أو compromised_website
. وتحتوي تلك المصادر عادةً على علامات تعكس ثغرات CVE الأمنية المحددة أو الشركات المُصَّنعة أو المنتجات المتضررة أو معلومات حول نقاط الدخول المخفية أو البرامج الضارة أو البرامج الضارة المزروعة التي يتم رؤيتها. ومن أمثلة ذلك http_vulnerable
منصة citrix
أو cve-2023-3519
.
وأخيرًا، عندما نضيف المزيد من الاكتشافات إلى مجموعات البيانات لدينا، ينتهي بنا الأمر بمزيد من العلامات. وهذا يعني أنه قد تظهر فئات مصادر جديدة لكي يتم الاختيار من بينها. على سبيل المثال، على الرغم من أن snmp
هي علامة موجودة في scan
المصدر، إلا أنها تظهر أيضًا كمصدر. ويتيح لنا ذلك تقديم نتائج مسح snmp بشكل أكثر دقة يسمح بعرض نتائج مسح snmp المحددة والمرتبطة بثغرة أمنية مثل cve-2017-6736
.
روابط سريعة لفئات البيانات: شريط التنقل الأيسر
يتم جمع مجموعات البيانات المعروضة من خلال طرق جمع مختلفة واسعة النطاق بما في ذلك البالوعات والمسح والمصائد. وتتم مشاركة هذه الفئات الرئيسية من مجموعات البيانات على شريط التنقل الأيسر، مع الرمز لكل نوع من الفئات بأيقونة مختلفة.
الهدف هو تمكين الغوص بشكل أسرع في فئات معينة مصنفة حسب المصدر. على سبيل المثال:
-
البالوعات (Sinkholes) - تقدم لمحة عامة عن مجموعات البيانات المصنفة حسب مصدر
sinkhole
. يمكنك بعد ذلك عرض نتيجة بالوعة (sinkhole) معينة عن طريق اختيار علامة أو مجموعة من العلامات. -
عمليات المسح - تقدم لمحة عامة عن مجموعات البيانات المجمعة حسب مصدر
scan
(تحتوي هذه الفئة على نتائج المسح الخاصة بالخدمات التي لها نوع من مشكلات الأمان المرتبطة بها، ويمكنك أيضًا عرض نتائج المسح السكاني عن طريق اختيار مصدرpopulation
بدلًا من ذلك). يمكنك بعد ذلك عرض نتيجة مسح معينة عن طريق تحديد علامة أو مجموعة من العلامات. -
المصائد - تقدم لمحة عامة عن مجموعات البيانات المجمعة حسب مصدر
honeypot
. يمكنك بعد ذلك عرض نتيجة مصيدة معينة عن طريق اختيار علامة أو مجموعة من العلامات. -
DDoS - يقدم نظرة عامة على مجموعات البيانات المجمعة حسب مصدر
honeypot_ddos_amp
. هذه هجمات تضخيم DDoS التي تشهدها أهداف فريدة في بلد/منطقة معينة. يمكنك بعد ذلك عرض طريقة تضخيم معينة يتم استخدامها وذلك عن طريق اختيار علامة أو مجموعة من العلامات. -
ICS - يقدم نظرة عامة على مجموعات البيانات المجمعة حسب مصدر
ics
(وهي نتائج مسح لبروتوكولات أنظمة التحكم الصناعي المحلية). يمكنك بعد ذلك عرض البروتوكولات المحلية المستخدمة عن طريق اختيار علامة أو مجموعة من العلامات. -
الثغرات الأمنية القابلة للاستغلال عبر الإنترنت (Web CVEs) - تقدم نظرة عامة على مجموعات البيانات المجمعة حسب
http_vulnerable
وexchange
. هذه تطبيقات ويب مصابة بثغرات تم تحديدها في عمليات المسح التي عادةً ما نقوم بها بواسطة CVE. يمكنك عرض CVEs أو المنتجات المتضررة عن طريق اختيار علامة أو مجموعة من العلامات.
ويمكن تقسيم مجموعات البيانات حسب البلدان أو مجموعات البلدان والمناطق والقارات.
يتم وصف كل مجموعة بيانات أيضًا في "حول هذه البيانات".
يرجى ملاحظة أن هناك المزيد من مجموعات البيانات المتاحة بخلاف المجموعات التي تم تسليط الضوء عليها. على سبيل المثال، سوف يسمح لك مصدر beacon
باستكشاف إطار عمل ما بعد الاستغلال C2s الذي نراه في عمليات المسح الخاصة بنا، وسوف يسمح لك مصدر compromised_website
باستكشاف نقاط نهاية الويب المخترقة التي تظهر في عمليات المسح الخاصة بنا.
شريط التنقل العلوي
يسمح شريط التنقل العلوي بخيارات تصور مختلفة لعرض البيانات، ولتصور مجموعات بيانات تحديد الجهاز ومراقبة الهجوم.
الإحصائيات العامة
تتضمن الإحصائيات العامة القدرة على تصور أي مصدر و علامة عن طريق اختيار:
- خريطة العالم - عرض خريطة العالم يوضح المصادر و العلامات المحددة. تشمل الميزات الإضافية: القدرة على تبديل العرض لإظهار العلامة الأكثر شيوعًا لكل بلد ولكل مصدر، والتطبيع حسب السكان، وإجمالي الناتج المحلي، وتوصيل المستخدمين، إلخ. يمكنك أيضًا تحديد العلامات على الخريطة لعرض القيم الخاصة بكل بلد.
- خريطة المنطقة - عرض الخريطة على مستوى البلد مع تقسيم البلدان إلى مناطق ومقاطعات.
- خريطة المقارنة - a خريطة مقارنة لبلدين.
- سلسلة زمنية - مخطط يوضح مجموعات المصدر و العلامة بمرور الوقت. يُلاحظ أن هذا المخطط يسمح بأشكال مختلفة من مجموعات البيانات (وليس فقط حسب البلد).
- التصور - يقدم خيارات مختلفة للبحث في مجموعات البيانات، بما في ذلك متوسطات القيم بمرور الوقت. وهو يسمح بعرض البيانات على شكل جداول ورسوم بيانية شريطية ومخططات فقاعات والمزيد.
إحصائيات أجهزة إنترنت الأشياء (إحصائيات تحديد الجهاز)
مجموعة البيانات هذه والتصورات المرتبطة بها توفر لقطة يومية لنقاط النهاية المكشوفة التي تم تجميعها من قبل الشركات المصَّنعة المكشوفة ومنتجاتها التي تم تحديدها من خلال عمليات المسح الخاصة بنا. ويتم تصنيف البيانات حسب الشركة المصَّنعة والموديل ونوع الجهاز. ويتم تحديد ذلك من خلال وسائل مختلفة تشمل محتوى صفحة الويب وشهادات SSL/TLS واللافتات المعروضة، إلخ. وتحتوي مجموعات البيانات على بيانات سكانية فقط، أي أنه لم يتم إجراء أي تقييم لأي ثغرات أمنية مرتبطة بنقاط النهاية المكشوفة (لمعرفة ذلك، يتم تحديد مصادر مثل http_vulnerable
تحت "إحصائيات عامة" بدلًا من ذلك).
توجد مخططات تصور مماثلة كما في "الإحصائيات العامة"، والفرق هو أنه بدلاً من استخدام المصادر و العلامات يمكنك عرضها (وتجميعها حسب) الشركات المصّنعة و الموديلات و أنواع الأجهزة بدلًا من ذلك.
Attack statistics: Vulnerabilities
توفر مجموعة البيانات هذه والتصورات المرتبطة بها لقطة يومية للهجمات التي شوهدت بواسطة شبكة مستشعرات المصائد لدينا، مع التركيز على الثغرات الأمنية المستخدمة للاستغلال. ويشمل ذلك القدرة على مشاهدة المنتجات التي تتم مهاجمتها بشكل متكرر واستكشاف كيفية تعرضها للهجوم (أي. الذي يمكن من خلالها استغلال الثغرة الأمنية، والتي قد تشمل استغلال CVE بصفة خاصة). يمكنك أيضًا عرض الرسوم البيانية حسب مصدر الهجمات والوجهات.
توجد مخططات تصور مماثلة كما في "الإحصائيات العامة"، والفرق هو أنه بدلاً من استخدام المصادر و العلامات يمكنك عرضها (وتجميعها حسب) الشركة المصَّنعة و الثغرة الأمنية و المصدر و وجهة الهجمات.
كما أضيفت فئة تصور إضافية - المراقبة:
هذا جدول يومي حديث للثغرات الأمنية المستغلة الأكثر شيوعًا والتي تم تجميعها حسب مصادر IPs الفريدة التي لوحظت أثناء الهجوم (أو أثناء محاولات الهجوم التي شوهدت، إذا اخترت خيار إحصائيات محاولات الاتصال). ويتم الحصول على البيانات من شبكة مستشعرات المصائد لدينا. ويتم تجميع البيانات حسب الثغرات المستغلة. ويشمل ذلك أيضًا خرائط الثغرات المستغلة المعروفة لـ CISA (بما في ذلك ما إذا كان من المعروف أنها مستغلة من قبل مجموعة برامج الفدية) وكذلك ما إذا كان الهجوم ضد جهاز إنترنت الأشياء وليس من تطبيق أحد خوادم الإنترنت.
بشكل افتراضي، تُظهر الشاشة الثغرات الأمنية الأكثر شيوعًا التي يتم استغلالها للعالم كله، ولكن يمكنك أيضًا التصفية حسب بلد معين، أو تجميع أو عرض جدول غير عادي بدلاً من ذلك.
Attack statistics: Devices
توفر مجموعة البيانات هذه والتصورات المرتبطة بها لقطة يومية لأنواع الأجهزة المهاجمة التي تراها شبكة مستشعرات المصائد لدينا. ويتم أخذ بصمات هذه الأجهزة من خلال عمليات المسح اليومية. وتسمح مجموعات البيانات بتتبع أنواع معينة من الهجوم أو الشركات المصَّنعة للأجهزة أو الموديلات، ويمكن تصفيتها حسب البلد.
توجد مخططات مماثلة كما في "الإحصائيات العامة"، والفرق هو أنه بدلاً من استخدام المصادر و العلامات يمكنك عرضها (وتجميعها حسب) نوع الهجوم أو الشركة المصَّنعة للأجهزة أو الموديل بدلًا من ذلك.
كما أضيفت فئة تصور إضافية - المراقبة:
هذا جدول يومي حديث لأجهزة الهجوم الأكثر شيوعًا التي شوهدت بواسطة مصادر IPs الفريدة، التي لوحظت أثناء الهجوم (أو أثناء محاولات الهجوم، إذا اخترت خيار إحصائيات محاولات الاتصال). كما هو الحال في جميع مجموعات البيانات المعروضة في هذه الفئة، يتم الحصول عليها من شبكة مستشعر المصيدة لدينا. ويتم تجميعها حسب نوع الهجوم الذي شوهد والشركة المصِّنعة والموديل (إذا كان متاحًا). نحن نحدد الجهاز المهاجم من خلال ربط الـ IPs التي تظهر مع نتائج مسح بصمات أجهزتنا اليومية (انظر قسم "إحصائيات أجهزة إنترنت الأشياء").
بشكل افتراضي، تُظهر الشاشة أكثر الأجهزة الهجومية شيوعًا (حسب المصدر) التي شوهدت أثناء الهجوم (ويشمل ذلك الحالات التي لا يمكننا فيها تحديد جهاز أو - على سبيل المثال - يمكننا فقط تحديد الشركة المصَّنعة). يمكنك اختيار التصفية حسب بلد معين أو تجميع أو عرض جدول غير عادي بدلاً من ذلك.