Oversigt over Dashboard
Shadowserver Dashboard præsenterer statistikker på højt niveau, der afspejler de vigtigste datasæt, som Shadowserver indsamler og deler gennem sine daglige aktiviteter i over 100 daglige rapporter. Datasættene gør det muligt at identificere den udsatte angrebsflade, sårbarheder, fejlkonfigurationer, kompromitteringer af netværk samt observationer af angreb. Dataene, der deles i form af rapporter, omfatter detaljerede oplysninger på IP-niveau om et bestemt netværk eller en bestemt gruppe. Shadowserver Dashboard giver ikke mulighed for dette niveau af granularitet. I stedet præsenterer det statistikker på højt niveau, der afspejler disse aktiviteter. Dette giver indsigt i de seneste nye trusler, sårbarheder og hændelser, og det giver en situationsbevidsthed til det bredere samfund, samtidig med at alle involverede parters anonymitet bevares.
Kilder og tags
Datapræsentation er organiseret omkring kilder og tags. En kilde er i bund og grund en datagruppering af en eller anden form. De grundlæggende kilder er honeypot
, population
, scan
, sinkhole
. Både population og scan er scanningsbaserede datasæt, hvor population er en optælling af eksponerede slutpunkter uden en sårbarheds-/sikkerhedsvurdering. Et 6
-suffiks repræsenterer IPv6-data (alle poster uden suffikset henviser til IPv4-data).
Kilder kan have tags tilknyttet, som giver yderligere kontekst til de data, der præsenteres. For eksempel vil tags for scan
omfatte de faktiske forskellige scanningstyper (dvs. tjenester/protokoller, der scannes, såsom telnet
, ftp
og rdp
). Tags for sinkhole
vil afspejle de faktiske malware-familier, der forbinder til et sinkhole (dvs. værter, der er inficeret af en malware-familietype som adload
, andromeda
og necurs
).
Tags giver yderligere indsigt i de præsenterede data.
Derudover introducerer vi også yderligere kildegrupperinger for bedre at afspejle observationer på sårbare eller kompromitterede værter – for eksempel http_vulnerable
eller compromised_website
. Disse vil typisk indeholde tags, der afspejler specifikke CVE-sårbarheder, berørte leverandører eller produkter eller oplysninger om bagdøre, webshells eller implantater, der ses. Et eksempel på http_vulnerable
ville være citrix
eller cve-2023-3519
.
Når vi tilføjer flere detektioner til vores datasæt, ender vi med flere tags. Det betyder, at der kan komme nye kildekategorier at vælge imellem. Selvom snmp
for eksempel er et tag, der findes på kilden scan
, vises den også som en kilde. Dette giver os mulighed for at præsentere mere detaljerede snmp-scanningsresultater, der gør det muligt at se specifikke snmp-scanningsresultater, der er forbundet med en sårbarhed som cve-2017-6736
.
Hurtige links til datakategorier: venstre navigationslinje
De præsenterede datasæt er indsamlet gennem forskellige omfattende indsamlingsmetoder, herunder sinkholing, scanning og honeypots. Disse hovedkategorier af datasæt deles på venstre navigationslinje, hvor hver kategoritype symboliseres af et andet ikon.
Målet er at gøre det muligt at dykke hurtigere ned i bestemte kildekategorier. For eksempel:
-
Sinkholes – giver et overblik over datasæt grupperet efter kilden
sinkhole
. Du kan derefter se et bestemt sinkhole-resultat ved at vælge et tag eller en gruppe af tags. -
Scanninger – giver et overblik over datasæt grupperet efter kilden
scan
(denne kategori indeholder scanningsresultater for tjenester, der har et eller andet slags sikkerhedsproblem forbundet med dem – du kan også se populationsscanningsresultater ved at vælge kildenpopulation
i stedet). Du kan derefter se et bestemt scanningsresultat ved at vælge et tag eller en gruppe af tags. -
Honeypot – giver et overblik over datasæt grupperet efter kilden
honeypot
. Du kan derefter se et bestemt honeypot-resultat ved at vælge et tag eller en gruppe af tags. -
DDoS – giver et overblik over datasæt grupperet efter kilde
honeypot_ddos_amp
. Disse er forstærkede DDoS-angreb set af unikke angrebsmål i et bestemt land/region. Du kan derefter se en bestemt forstærkningsmetode, der blev brugt, ved at vælge et tag eller en gruppe af tags. -
ICS – giver et overblik over datasæt grupperet efter kilden
ics
(som er scanningsresultater af native Industrial Control Systems-protokoller). Du kan derefter se de oprindelige protokoller, der blev brugt, ved at vælge et tag eller en gruppe af tags. -
Web CVEs – giver et overblik over datasæt grupperet efter
http_vulnerable
ogexchange
. Dette er sårbare webapplikationer, der er identificeret i vores scanninger, typisk efter CVE. Du kan se CVE'erne eller de berørte produkter ved at vælge et tag eller en gruppe af tags.
Datasættene kan opdeles efter land eller landegrupper, regioner og kontinenter.
Hvert datasæt er også beskrevet i "Om disse data".
Bemærk, at der er flere datasæt tilgængelige end dem, der er fremhævet. For eksempel vil kilden beacon
give dig mulighed for at udforske C2-rammeværker til efter udnyttelse, som vi ser i vores scanninger, og kilden compromised_website
vil give dig mulighed for at udforske kompromitterede web-slutpunkter set i vores scanninger.
Øvre navigationslinje
Den øverste navigationslinje giver mulighed for forskellige visualiseringsmuligheder for datapræsentation samt for visualisering af enhedsidentifikation og datasæt for angrebsobservation.
Generelle statistikker
Generel statistik omfatter muligheden for at visualisere enhver kilde og ethvert tag ved at vælge:
- Verdenskort – et verdenskort, der viser udvalgte kilder og tags. Ekstra funktioner omfatter: mulighed for at skifte visning for at vise det mest almindelige tag pr. land pr. kilde, normalisering efter population, BNP, forbinde brugere osv. Du kan også vælge markører på kortet for at vise værdier pr. land.
- Regionskort – en kortvisning på landeniveau med lande opdelt i regioner og provinser.
- Sammenligningskort – et sammenligningskort over to lande.
- Tidsserie – et diagram, der viser kombinationer af kilder og tags over tid. Bemærk, at der kan anvendes forskellige former for datagrupperinger (ikke kun efter land).
- Visualisering – tilbyder forskellige muligheder for at dykke ned i datasættene, herunder gennemsnit af værdier over tid. Giver mulighed for at vise data i form af tabeller, søjlediagrammer, boblediagrammer og meget mere.
IoT-enhedsstatistik (enhedsidentifikationsstatistik)
Dette datasæt og tilhørende visualiseringer giver et dagligt øjebliksbillede af udsatte slutpunkter grupperet efter udsatte leverandører og deres produkter identificeret gennem vores scanninger. Data er kategoriseret efter leverandør, model og enhedstype. Disse identificeres på forskellige måder, herunder websideindhold, SSL/TLS-certifikater, viste bannere osv. Datasættene indeholder kun populationsdata, dvs. der er ikke foretaget nogen vurdering af eventuelle sårbarheder forbundet med de udsatte slutpunkter (for at finde dem skal du i stedet vælge kilder som for eksempel http_vulnerable
under "Generel statistik").
Der findes lignende visualiseringsdiagrammer som i "Generel statistik" med den forskel, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) leverandører, modeller og enhedstyper i stedet.
Angrebsstatistikker: Sårbarheder
Dette datasæt og de tilhørende visualiseringer giver et dagligt øjebliksbillede af angreb set af vores honeypot-sensornetværk med fokus på sårbarheder, der bruges til udnyttelse. Disse omfatter muligheden for at se produkter, der oftest angribes, og at udforske, hvordan de angribes (dvs. af hvilken udnyttet sårbarhed, som kan omfatte en bestemt CVE, der udnyttes). Du kan også se diagrammer over angrebskilder og destinationer.
Der findes lignende visualiseringsdiagrammer som i "Generel statistik", men forskellen er, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) leverandør, sårbarhed samt kilde og destination for angrebene.
Der er også blevet tilføjet en ekstra visualiseringskategori – Overvågning:
Dette er en dagligt opdateret tabel over de mest almindelige udnyttede sårbarheder grupperet efter unikke kilde-IP'er, der er observeret som angribere (eller som angrebsforsøgende, hvis statistikindstillingen for forbindelsesforsøg vælges). Data er hentet fra vores honeypot-sensornetværk. Data er grupperet efter udnyttede sårbarheder. De omfatter også CISA Known Exploited Vulnerability mappings (herunder om det er kendt, at udnyttelsen sker af en ransomware-gruppe), samt om angrebet er rettet mod en IoT-enhed frem for end en serverapplikation.
Som standard viser displayet de mest almindelige sårbarheder, der udnyttes i hele verden, men du kan også filtrere efter bestemte lande eller grupperinger eller vise en afvigelsestabel i stedet.
Angrebsstatistikker: Enheder
Dette datasæt og de tilhørende visualiseringer giver et dagligt øjebliksbillede af de typer af angribende enheder, som vores honeypot-sensornetværk ser. Fingeraftryk af disse enheder sker gennem vores daglige scanninger. Datasættene gør det muligt at spore bestemte angrebstyper, enhedsleverandører eller modeller og kan filtreres efter land.
Der findes lignende diagrammer som i "Generel statistik", men forskellen er, at du i stedet for at bruge kilder og tags kan se (og gruppere efter) angreb type, enhed leverandør eller model i stedet.
Der er også blevet tilføjet en ekstra visualiseringskategori – Overvågning:
Dette er en dagligt opdateret tabel over de mest almindelige angribende enheder set af unikke kilde-IP'er, der er observeret som angribende (eller som angrebsforsøgende, hvis statistikindstillingen for forbindelsesforsøg vælges). Som i alle datasæt, der vises i denne kategori, stammer den fra vores honeypot-sensornetværk. Den er grupperet efter angrebstype, leverandør og model (hvis tilgængelig). Vi identificerer den angribende enhed ved at korrelere de sete IP'er med resultaterne af vores daglige fingeraftryk af enhedsscanninger (se afsnittet "IoT-enhedsstatistik").
Som standard viser displayet de mest almindelige angribende enheder (efter kilde) (dette inkluderer tilfælde, hvor vi ikke kan identificere en enhed eller f.eks. kun identificerer en leverandør). Du kan vælge at filtrere efter et bestemt land eller en bestemt gruppering eller se en afvigelsestabel i stedet.