Shrnutí přehledu

Přehled Shadowserver představuje přehledové statistiky, které odrážejí hlavní soubory dat, které Shadowserver shromažďuje a sdílí prostřednictvím svých každodenních činností ve více než 100 denních zprávách. Datové sady umožňují identifikovat vystavené místo útoku, zranitelnosti, chybné konfigurace, kompromitace sítí a také pozorování útoků. Údaje sdílené ve formě zpráv obsahují podrobné informace na úrovni IP adresy týkající se konkrétní sítě nebo obvodu. Přehled Shadowserver tuto úroveň granularity neumožňuje. Místo toho uvádí statistické údaje na vysoké úrovni, které těmto činnostem odpovídají. To umožňuje získat informace o nejnovějších vznikajících hrozbách, zranitelnostech a incidentech, a poskytnout tak širší komunitě přehled o situaci při zachování anonymity všech zúčastněných stran.

Zdroje a značky

Prezentace dat je uspořádána podle zdrojů a značek. Zdroj je v podstatě seskupení dat v určité formě. Základní zdroje jsou honeypot, population, scan, sinkhole. Populace i skeny jsou datové sady založené na skenování, přičemž populace je počet koncových bodů vystavení bez posouzení zranitelnosti/bezpečnosti. Přípona 6 představuje data IPv6 (všechny položky bez přípony se vztahují k datům IPv4).

Ke zdrojům mohou být přiřazeny značky, které poskytují další kontext prezentovaných dat. Například značky pro scan budou obsahovat různé typy skenování (tj. skenované služby/protokoly jako telnet, ftp a rdp). Značky pro sinkhole odpovídají samotným rodinám malwaru připojujícího se k sinkhole (tj. hostitele infikované typem rodiny malwaru jako adload, andromeda a necurs).

Značky poskytují další informace o prezentovaných údajích.

Kromě toho zavádíme také další skupiny zdrojů, které lépe odpovídají pozorování zranitelných nebo napadených hostitelů – například http_vulnerable nebo compromised_website. Ty obvykle obsahují značky, které odpovídají konkrétním zranitelnostem CVE, výrobcům nebo produktům, kterých se týkají, nebo informace o pozorovaných backdoorech, webových shellech nebo vložení kódu. Příkladem pro http_vulnerable může být citrix nebo cve-2023-3519.

Jak budeme do svých datových souborů přidávat více detekcí, zvýší se i počet značek. To znamená, že se mohou objevit nové kategorie zdrojů, ze kterých si můžete vybrat. Například i když je značka snmp přítomna ve scan zdroje, je také uvedena jako zdroj. To nám umožňuje prezentovat podrobnější výsledky skenování snmp, které umožňují zobrazit konkrétní výsledky skenování snmp spojené se zranitelností, jako je cve-2017-6736.

Rychlé odkazy na kategorie dat: Levý navigační panel

Prezentované datové sady jsou shromážděny různými rozsáhlými metodami sběru včetně sinkholingu, skenování a honeypotů. Tyto hlavní kategorie datových sad jsou sdíleny na levém navigačním panelu, přičemž každý typ kategorie je symbolizován jinou ikonou.

Cílem je umožnit rychlejší zobrazení jednotlivých kategorií zdrojů. Například:

  • Sinkholy – poskytuje přehled datových sad seskupených podle zdrojových sinkhole. Výběrem značky nebo skupiny značek pak můžete zobrazit konkrétní výsledek sinkholu.
  • Skeny – poskytuje přehled datových sad seskupených podle scan zdroje (tato kategorie obsahuje výsledky skenování služeb, se kterými je spojený nějaký problém se zabezpečením, výsledky skenování populace lze zobrazit také výběrem population). Výběrem značky nebo skupiny značek pak můžete zobrazit konkrétní výsledek skenu.
  • Honeypoty – poskytuje přehled datových sad seskupených podle honeypot zdroje. Výběrem značky nebo skupiny značek pak můžete zobrazit konkrétní výsledek honeypotu.
  • DDoS – poskytuje přehled datových sad seskupených podle honeypot_ddos_amp zdroje. Jedná se o zesílené útoky DDoS, které zaznamenaly jedinečné cíle v určité zemi/oblasti. Výběrem značky nebo skupiny značek pak můžete zobrazit konkrétní použitou metodu zesílení.
  • ICS – poskytuje přehled datových sad seskupených podle ics zdroje (což jsou výsledky skenování nativních protokolů průmyslových řídicích systémů). Výběrem značky nebo skupiny značek pak můžete zobrazit použité nativní protokoly.
  • Webové CVE – poskytuje přehled datových sad seskupených podle http_vulnerable a exchange. Jedná se o zranitelné webové aplikace identifikované při skenování obvykle podle CVE. Výběrem značky nebo skupiny značek můžete zobrazit CVE nebo dotčené produkty.

Datové sady lze rozdělit podle zemí nebo skupin zemí, oblastí a kontinentů.

Každá datová sada je také popsána v části „O těchto datech“.

K dispozici více datových sad než ty, které jsou zvýrazněny. Například beacon zdroje vám umožní prozkoumat rámce C2 po zneužití, které vidíme ve skenech, a compromised_website zdroje vám umožní prozkoumat kompromitované webové koncové body, které vidíme ve skenech.

Horní navigační panel

Horní navigační panel umožňuje různé možnosti vizualizace pro prezentaci dat i vizualizaci datových sad pro identifikaci zařízení a pozorování útoků.

Obecné statistiky

Obecné statistiky zahrnují možnost vizualizace libovolného zdroje a značky výběrem:

  • Mapa světa – zobrazení mapy světa s vybranými zdroji a značkami. Mezi další funkce patří: možnost přepínat zobrazení tak, aby se zobrazovalo nejčastější značky pro jednotlivé země na zdroj, normalizace podle počtu obyvatel, HDP, připojení uživatelů atd. Můžete také vybrat značky na mapě a zobrazit hodnoty pro jednotlivé země.
  • Mapa regionu – zobrazení mapy na úrovni země s rozdělením zemí na regiony a provincie.
  • Srovnávací mapa – srovnávací mapa dvou zemí.
  • Časová řada – graf zobrazující kombinace zdroje a značky v čase. Umožňuje různé formy seskupení dat (nejen podle zemí).
  • Vizualizace – nabízí různé možnosti podrobného zobrazení datových sad, včetně průměrů hodnot v čase. Umožňuje zobrazovat data ve formě tabulek, sloupcových grafů, bublinových diagramů a dalšími způsoby.

Statistika zařízení IoT (statistika identifikace zařízení)

Tato datová sada a související vizualizace poskytují denní přehled vystavených koncových bodů seskupených podle vystavených výrobců a jejich produktů identifikovaných při skenování. Data jsou rozdělena podle výrobce, modelu a typu zařízení. Ty jsou identifikovány různými způsoby, včetně obsahu webové stránky, certifikátů SSL/TLS, zobrazených bannerů atd. Datové sady obsahují pouze údaje o populaci, tj. nejsou vyhodnoceny žádné zranitelnosti spojené s vystavenými koncovými body (pro jejich vyhledání vyberte místo toho zdroje, jako je například http_vulnerable v části „Obecné statistiky“).

K dispozici jsou podobné grafy vizualizace jako v části „Obecné statistiky“ s tím rozdílem, že místo zdrojů a značek můžete zobrazovat (a seskupovat podle) výrobců, modelů a typů zařízení.

Statistiky útoku: Zranitelnosti

Tato datová sada a související vizualizace poskytují denní přehled o útocích zaznamenaných naší sítí senzorů honeypotu se zaměřením na zranitelnosti využívané ke zneužití. Mezi ně patří možnost zobrazit produkty, které jsou nejčastěji napadány, a prozkoumat, jakým způsobem jsou napadány (tj. jakou zneužívanou zranitelností, což může zahrnovat konkrétní zneužívané CVE). Můžete si také zobrazit grafy podle zdroje útoků a cílů.

K dispozici jsou podobné grafy vizualizace jako v části „Obecné statistiky“ s tím rozdílem, že místo zdrojů a značek můžete zobrazovat (a seskupovat podle) výrobců, zranitelností a také zdrojů a cílů útoků.

Byla také přidána další kategorie vizualizace – monitorování:

Jedná se o denně aktualizovanou tabulku nejčastěji zneužívaných zranitelností seskupených podle unikátních zdrojových IP adres, na které byl zaznamenán útok (nebo zaznamenaných pokusů o útok, pokud vyberete možnost statistiky pokusů o připojení). Data pocházejí z naší sítě senzorů honeypotu. Data jsou seskupena podle zneužitých zranitelností. Obsahuje také mapování známých zneužívaných zranitelností CISA (včetně toho, zda je známo, že je zneužívána skupinou ransomwaru) a informaci, zda je útok veden na zařízení IoT, a nikoli na serverovou aplikaci.

Ve výchozím nastavení se zobrazují nejčastěji zneužívané zranitelnosti pro celý svět, ale můžete je také filtrovat podle konkrétní země nebo seskupení nebo místo toho zobrazit tabulku anomálií.

Statistiky útoku: Zařízení

Tato datová sada a související vizualizace poskytují denní přehled o typech útočících zařízení zaznamenaných naší sítí senzorů honeypotu. Otisky těchto zařízení se snímají denně. Soubory dat umožňují sledovat konkrétní typy útoků, výrobce nebo modely zařízení a lze je filtrovat podle zemí.

K dispozici jsou podobné grafy jako v části „Obecné statistiky“ s tím rozdílem, že místo zdrojů a značek můžete zobrazovat (a seskupovat podle) typu a výrobce nebo typu zařízení.

Byla také přidána další kategorie vizualizace – monitorování:

Jedná se o denně aktualizovanou tabulku nejčastěji útočících zařízení seskupených podle unikátních zdrojových IP adres, na které byl zaznamenán útok (nebo zaznamenaných pokusů o útok, pokud vyberete možnost statistiky pokusů o připojení). Stejně jako všechny datové sady zobrazené v této kategorii pochází z naší sítě senzorů honeypotu. Jsou seskupeny podle typu zaznamenaného útoku, výrobce a modelu (je-li k dispozici). Útočící zařízení určíme na základě korelace viděných IP adres s výsledky našeho denního skenování otisků zařízení (viz část „Statistiky zařízení IoT“).

Ve výchozím nastavení se na displeji zobrazují nejčastější útočící zařízení (podle zdroje), u kterých byl zaznamenán útok (to zahrnuje i případy, kdy nemůžeme zařízení identifikovat nebo například identifikujeme pouze výrobce). Můžete si zvolit filtrování podle konkrétní země nebo seskupení nebo místo toho zobrazit tabulku anomálií.

Vývoj přehledu Shadowserver byl financován organizací UK FCDO. Statistiky otisků zařízení IoT a statistiky útoků na honeypoty spolufinancované evropským fondem Nástroj pro propojení Evropy (projekt EU CEF VARIoT).

Rádi bychom poděkovali všem našim partnerům, kteří laskavě poskytují data používaná v přehledu Shadowserver, včetně (podle abecedy) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Národní univerzity v Jokohamě a všech, kteří se rozhodli zůstat v anonymitě.

Shadowserver používá soubory cookie ke shromažďování analytických údajů. To nám umožňuje měřit, jak jsou stránky používány, a zlepšovat uživatelské prostředí. Více informací o souborech cookie a o tom, jak je Shadowserver používá, najdete v našich zásadách ochrany osobních údajů. K takovému použití souborů cookie ve vašem zařízení potřebujeme váš souhlas.