Mənbə və teqlər
Shadowserver Məlumat Paneli 100-dən çox gündəlik hesabatda Shadowserver-in gündəlik fəaliyyətlər ilə topladığı və paylaşdığı əsas məlumat toplularını əks etdirən yüksək səviyyəli statistika təqdim edir. Məlumat topluları təsirə məruz qalan hücum səthini, həssas məqamları, yanlış konfiqurasiyaları, şəbəkələr arasında kompromisləri, habelə hücumları müşahidə etməyə imkan verir. Hesabat şəklində paylaşılan məlumatlar konkret şəbəkə və ya icazə səviyyəsi ilə bağlı hərtərəfli İP səviyyəli məlumatları ehtiva edir. Shadowserver Məlumat Paneli bu icazə səviyyəsinə imkan vermir. Bunun əvəzinə bu fəaliyyətləri əks etdirən yüksək səviyyəli statistika təqdim edir. Bu, ən son yaranan təhdidlər, həssas məqamlar, insidentlər barədə məlumat əldə etməyə imkan verir və bununla bağlı hər hansı iştirakçı tərəfin anonimliyini qoruyub saxlayır.
Mənbələr və teqlər
Məlumat təqdimatı mənbələr və teqlər əsasında təşkil edilir. Mənbə mahiyyətcə hər hansı bir formada məlumat qruplaşmasıdır. Əsas mənbələr honeypot
, population
, scan
, sinkhole
dır. Həm əhali, həm də skanlama özlüyündə skanlamaya əsaslanan məlumat toplusudur və həssas məqamlar/təhlükəsizlik qiymətləndirilməsi olmadan əhalinin təsirin son nöqtələrinin sayını göstərir. 6
şəkilçisi IPv6 məlumatlarını təmsil edir (şəkilsi olmayan bütün qeydlər IPv4 məlumatlarına istinad edir).
Mənbələrdə təqdim olunan məlumatlar üçün əlavə konteksti təmin edən onlarla əlaqəli teqlər ola bilər. Məsələn, scan
üçün teqlər mövcud müxtəlif skanlama növlərini (məsələn, telnet
, ftp
və rdp
kimi skan edilən xidmətlər/protokollar daxil olacaq) əhatə edəcək. sinkhole
üçün teqlər mühafizə mexanizminə (yəni, adload
, andromeda
və necurs
kimi zərərli proqram ailəsi növünün təsirinə məruz qalmış hostlar) qoşulan faktiki zərərli proqram qruplarını əks etdirəcək.
Teqlər təqdim olunan məlumatlar haqqında əlavə faydlı məlumat verir.
Bundan əlavə, biz həssas və ya təhlükə altında olan hostlar üzrə müşahidələri daha yaxşı əks etdirmək üçün əlavə mənbə qruplaşmalarını təqdim edirik - məsələn, http_vulnerable
(həssas) və ya compromised_website
(təhlükə altında olan vebsayt). Bunlar adətən spesifik CVE-nin həssas məqamlarını, təsirə məruz qalan vendorları və ya məhsulları və ya hiylə, veb-örtüklər və ya görünən əlfəcinlər haqqında məlumatları əks etdirən teqləri ehtiva edəcək. http_vulnerable
üçün nümunə citrix
və ya cve-2023-3519
ola bilər.
Nəhayət, məlumat toplularımıza daha çox aşkarlama əlavə etdikcə, daha çox teq əldə edirik. Bu o deməkdir ki, seçim etmək üçün yeni mənbə kateqoriyaları görünə bilər. Məsələn, snmp
, scan
mənbəsində mövcud olan teq olsa da, o, həm də mənbə kimi göstərilir. Bu, bizə cve-2017-6736
kimi həssas məqamla əlaqəli xüsusi snmp skanlama nəticələrinə baxmağa imkan verən daha ətraflı snmp skanlama nəticələrini təqdim etməyə imkan verir.
Məlumat kateqoriyalarına sürətli keçidlər: Sol naviqasiya paneli
Təqdim olunan məlumat topluları müxtəlif irimiqyaslı toplama üsulları, o cümlədən mühafizə mexanizmləri, skanlama və hakerlər üçün fəndlər vasitəsilə toplanır. Məlumat toplusunun bu əsas kateqoriyaları sol naviqasiya panelində paylaşılır, hər bir kateqoriya növü fərqli bir ikona ilə simvolizə olunur.
Məqsəd xüsusi mənbə kateqoriyalarına daha dərindən nüfuz etməyi təmin etməkdir. Məsələn:
-
Sinkholes (Mühafizə vasitələri) -
sinkhole
mənbəsi üzrə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək müəyyən bir sinkhole (mühafizə mexanizmi) nəticəsinə baxa bilərsiniz. -
Scans (Skanlamalar) -
scan
mənbəsinə görə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir (bu kateqoriyada onlarla əlaqəli bir növ təhlükəsizlik problemi olan xidmətlər üçün skanlama nəticələri yer alır, siz həmçininpopulation
(əhali) mənbəyini seçməklə əhali üzrə skanlama nəticələrinə baxa bilərsiniz). Daha sonra teq və ya teqlər qrupunu seçməklə xüsusi skanlama nəticəsinə baxa bilərsiniz. -
Honeypots (Hakerlər üçün fəndlər) -
honeypot
mənbəyi əsasında qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək müəyyən hakerlər üçün fənd nəticələrinə baxa bilərsiniz. -
DDoS -
honeypot_ddos_amp
mənbəyinə görə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Bunlar müəyyən bir ölkədə/bölgədə unikal hədəflər tərəfindən müşahidə olunan gücləndirilmiş DDoS hücumlarıdır. Daha sonra teq və ya teqlər qrupunu seçməklə istifadə edilən xüsusi gücləndirmə metoduna baxa bilərsiniz. -
ICS -
ics
mənbəyinə əsasən qruplaşdırılmış məlumat toplusuna ümumi baxışı (lokal Sənaye İdarəetmə Sistemləri protokollarının skanlama nəticələri) təqdim edir. Daha sonra teq və ya teqlər qrupunu seçərək istifadə edilən yerli protokollara baxa bilərsiniz. -
Web CVEs (Veb CVE-lər) -
http_vulnerable
vəexchange
ilə qruplaşdırılmış məlumat toplusunun icmalını təqdim edir. Bunlar bizim skanlarımızda adətən CVE tərəfindən müəyyən edilən həssas veb tətbiqlərdir. Siz teq və ya teqlər qrupunu seçməklə CVE-lərə və ya təsirə məruz qalmış məhsullara baxa bilərsiniz.
Məlumat topluları ölkə və ya ölkə qruplarına, bölgələrə və qitələrə görə bölünə bilər.
Hər bir məlumat toplusu “Bu məlumat haqqında” bölməsində də təsvir edilmişdir.
Qeyd edək ki, vurğulananlardan başqa da məlumat topluları mövcuddur. Məsələn, beacon
(veb-mayak) mənbəyi sizə skanlarımızda gördüyümüz istismardan sonrakı C2 çərçivələrini, compromised_website
(təhlükə altında olan vebsayt) mənbəyi isə skanlarımızda görünən təhlükəyə məruz qalmış veb son nöqtələrini araşdırmağa imkan verəcək.
Yuxarı naviqasiya paneli
Yuxarı naviqasiya paneli məlumatların təqdimatı üçün müxtəlif vizuallaşdırma seçimlərinə, habelə cihazın identifikasiyası və hücumların müşahidəsi üzrə məlumat toplularının vizuallaşdırılmasına imkan verir.
Ümumi statistika
Ümumi statistikada aşağıdakıları seçməklə hər hansı mənbə və teqi vizuallaşdırmaq imkanı yer alır:
- Dünya xəritəsi - seçilmiş mənbələri və teqləri göstərən dünya xəritəsi ekranıdır. Əlavə xüsusiyyətlərə aşağıdakılar daxildir: hər mənbəyə görə ölkə üzrə ən ümumi teqi göstərmək üçün ekranı dəyişmək imkanı, əhali üzrə normal göstəricilər, ÜDM, istifadəçiləri birləşdirmək və s. Siz həmçinin hər ölkə üzrə nəticələri göstərmək üçün xəritədə markerlər seçə bilərsiniz.
- Bölgə xəritəsi - bölgələrə və əyalətlərə bölünmüş ölkələri göstərən ölkə səviyyəli xəritə ekranı.
- Müqayisə xəritəsi - iki ölkənin müqayisə xəritəsi.
- Vaxt intervalı - zamanla mənbə və teq birləşmələrini göstərən qrafik. Qeyd edək ki, o, məlumat qruplaşdırmasının (yalnız ölkə üzrə deyil) müxtəlif formalarına imkan verir.
- Vizuallaşdırma - zamanla nəticələrin orta göstəriciləri də daxil olmaqla, məlumat toplusuna daxil olmaq üçün müxtəlif variantları təklif edir. Cədvəllər, histoqramlar, vəziyyət diaqramları və s. şəklində məlumatları göstərməyə imkan verir.
IoT cihaz statistikası (cihazın identifikasiyası statistikası)
Bu məlumat toplusu və əlaqəli vizualizasiyalar skanlarımız vasitəsilə müəyyən edilmiş təsirə məruz qalmış vendorlar və onların məhsulları tərəfindən qruplaşdırılan təsirə məruz qalmış son nöqtələrin gündəlik görüntüsünü təqdim edir. Məlumatlar vendor, model və cihaz növünə görə təsnif edilir. Bunlar müxtəlif vasitələrlə, o cümlədən veb-səhifənin məzmunu, SSL/TLS sertifikatları, nümayiş olunan bannerlər və s. vasitəsilə müəyyən edilir. Məlumat topluları yalnız əhali məlumatlarını ehtiva edir, yəni, təsirə məruz qalan son nöqtələrlə əlaqəli hər hansı boşluqla bağlı heç bir qiymətləndirmə aparılmır (bunları tapmaq üçün əvəzində “Ümumi statistika”nın altında http_vulnerable
kimi mənbələri seçin).
“Ümumi statistika”da olduğu kimi analoji vizuallaşdırma diaqramları mövcuddur, fərq ondan ibarətdir ki, mənbələr və teqlər əvəzinə siz vendorlar, modellər və cihaz növlərinə baxa bilərsiniz.
Hücum statistikası: Həssas məqamlar
Bu məlumat bazası və əlaqəli vizualizasiyalar istismar üçün istifadə olunan həssas məqamlara diqqət yetirməklə, hakerlər üçün fəndlər sensor şəbəkəmiz tərəfindən müşahidə olunan hücumların gündəlik görüntüsünü təqdim edir. Bunlara ən çox hücuma məruz qalan məhsullara baxmaq və onların necə hücuma məruz qaldığını araşdırmaq (yəni, istifadə olunan hansı həssas məqam konkret CVE istifadəsini ehtiva edə bilər) imkanı daxildir. Siz həmçinin hücumların mənbəyi və təyinat yerləri üzrə diaqramlara baxa bilərsiniz.
“Ümumi statistika”da olduğu kimi analoji vizuallaşdırma diaqramları mövcuddur, fərq ondan ibarətdir ki, mənbələr və teqlər əvəzinə siz vendor, həssas tərəflər, habelə hücumların mənbəyi və təyinat yerinə baxa (və qruplaşdıra bilərsiniz).
Əlavə vizuallaşdırma kateqoriyası - Monitorinq də əlavə edildi:
Bu, hücum zamanı müşahidə edilən unikal mənbə İP-ləri (və ya qoşulma cəhdləri statistik seçimini etsəniz, görünən hücum cəhdləri) üzrə qruplaşdırılmış ən ümumi istifadə edilən həssas məqamların yenilənmiş gündəlik cədvəlidir. Məlumatlar bizim hakerlər üçün fəndlər sensoru şəbəkəmizdən alınır. Məlumatlar istifadə olunan həssas məqamlara görə qruplaşdırılır. Buraya həmçinin CISA-nın Məlum İstifadə olunan Həssas Məqam xəritələri (ransomware (alış tələb edən virus) qrupu tərəfindən istismar edilib-edilməməsi daxil olmaqla) və hücumun server tətbiqi proqramından çox IoT cihazına qarşı olub-olmaması daxildir.
Standart olaraq ekran qlobal miqyasda istifadə edilən ən ümumi həssas məqamları göstərir, lakin siz həmçinin konkret ölkə üzrə filtrləyə və ya qruplaşdıra və ya anomaliya cədvəlini göstərə bilərsiniz.
Hücum statistikası: Cihazlar
Bu məlumat bazası və əlaqəli vizualizasiyalar hakerlər üçün fənd sensor şəbəkəmiz tərəfindən müşahidə olunan hücum edən cihaz növlərinin gündəlik görüntüsünü təqdim edir. Bu cihazların barmaq izi gündəlik skanlamalarımız vasitəsilə həyata keçirilir. Məlumat topluları xüsusi hücum növlərini, cihaz vendorlarını və ya modellərini izləməyə imkan verir və ölkə üzrə filtrlənə bilər.
“Ümumi statistika”da olduğu kimi analoji diaqramlar mövcuddur, fərq ondan ibarətdir ki, mənbələr və teqlər əvəzinə siz növ, cihaz vendoru və ya modelə baxa (və qruplaşdıra) bilərsiniz.
Əlavə vizuallaşdırma kateqoriyası - Monitorinq də əlavə edildi:
Bu, hücumun müşahidə edildiyi unikal mənbə İP-ləri tərəfindən müşahidə olunan ən ümumi hücum edən cihazların (və ya qoşulma cəhdləri statistik seçimini etsəniz, müşahidə olunan hücum cəhdləri) yenilənmiş gündəlik cədvəlidir. Bu kateqoriyada göstərilən bütün məlumat toplularında olduğu kimi, o, bizim hakerlər üçün fəndlər sensor şəbəkəmizdən əldə edilmişdir. O, müşahidə olunan hücum növü, vendor və model (əgər varsa) üzrə qruplaşdırılıb. Gündəlik cihaz skanlamaları üzrə barmaq izinin nəticələri ilə müşahidə olunan İP-ləri əlaqələndirərək hücum edən cihazı müəyyən edirik (“IoT cihaz statistikası” bölməsinə baxın).
Standart olaraq ekranda hücum edildiyi müşahidə olunan ən ümumi hücum edən cihazlar (mənbəyə görə) göstərilir (buraya cihazı müəyyən edə bilmədiyimiz hallar və ya məsələn, yalnız vendoru müəyyən etmək daxildir). Siz konkret ölkə üzrə filtr etməyi və ya qruplaşdırmağı, yaxud əvəzində anomaliya cədvəlini göstərməyi seçə bilərsiniz.