Επισκόπηση Dashboard
Το Dashboard του Shadowserver παρουσιάζει υψηλού επιπέδου στατιστικά στοιχεία, τα οποία αναπαριστούν τα κύρια σύνολα δεδομένων που το Shadowserver συλλέγει και κοινοποιεί μέσω των καθημερινών δραστηριοτήτων του σε περισσότερες από 100 ημερήσιες αναφορές. Τα σύνολα δεδομένων επιτρέπουν τον εντοπισμό τυχόν εκτεθειμένης σε επιθέσεις επιφάνειας, τρωτοτήτων, εσφαλμένων διαμορφώσεων και προσβολών δικτύων, καθώς και την παρατήρηση επιθέσεων. Τα δεδομένα αυτά, που κοινοποιούνται με τη μορφή αναφορών, περιέχουν λεπτομερείς πληροφορίες σε επίπεδο δ/νσεων IP που αφορούν ένα συγκεκριμένο δίκτυο ή μια περιφέρεια. Το Dashboard του Shadowserver δεν επιτρέπει την ανάλυση σε τέτοιο επίπεδο. Αντίθετα, παρουσιάζει υψηλού επιπέδου στατιστικά στοιχεία που αναπαριστούν τις εν λόγω δραστηριότητες. Αυτό παρέχει πληροφορίες για τις τελευταίες αναδυόμενες απειλές, τρωτότητες και συμβάντα και επιτρέπει την απόκτηση περιστασιακής επίγνωσης από την ευρύτερη κοινότητα, ενώ ταυτόχρονα προστατεύει την ανωνυμία τυχόν ενεχόμενων πλευρών.
Προελεύσεις και ετικέτες
Η παρουσίαση των δεδομένων είναι διαρθρωμένη με βάση τις προελεύσεις και τις ετικέτες. Η «προέλευση» είναι ουσιαστικά μια μορφή ομαδοποίησης δεδομένων. Οι βασικές προελεύσεις είναι: honeypot
, population
(πληθυσμός), scan
(σάρωση) και sinkhole
. Τόσο ο «πληθυσμός» όσο και η «σάρωση» είναι σύνολα δεδομένων που βασίζονται σε σάρωση, όπου ο «πληθυσμός» αποτελεί μια καταμέτρηση τερματικών σημείων έκθεσης χωρίς αξιολόγηση της τρωτότητας/ασφάλειας. Το επίθεμα 6
καταδεικνύει δεδομένα IPv6 (ενώ όλες οι καταχωρήσεις χωρίς επίθεμα αντιστοιχούν σε δεδομένα IPv4).
Με τις προελεύσεις μπορούν να συσχετίζονται ετικέτες, οι οποίες παρέχουν επιπρόσθετες πληροφορίες για τα δεδομένα που παρουσιάζονται. Για παράδειγμα, οι ετικέτες για την προέλευση τύπου scan
(σάρωση) συμπεριλαμβάνουν τους πραγματικούς διαφορετικούς τύπους σάρωσης (δηλ. υπηρεσίες/ πρωτόκολλα που σαρώνονται όπως π.χ. telnet
, ftp
και rdp
). Οι ετικέτες για την προέλευση τύπου sinkhole
εκφράζουν τις πραγματικές οικογένειες malware που συνδέονται σε ένα sinkhole (δηλ. κεντρικοί υπολογιστές που έχουν προσβληθεί από κάποιον τύπο οικογένειας malware όπως π.χ. adload
, andromeda
και necurs
).
Οι ετικέτες παρέχουν επιπρόσθετες πληροφορίες για τα δεδομένα που παρουσιάζονται.
Επιπλέον, εισάγουμε πρόσθετες ομαδοποιήσεις προελεύσεων για την καλύτερη περιγραφή παρατηρήσεων επί τρωτών ή προσβεβλημένων κεντρικών υπολογιστών – για παράδειγμα, http_vulnerable
ή compromised_website
. Αυτές συνήθως περιέχουν ετικέτες που περιγράφουν ειδικές τρωτότητες τύπου «Κοινές τρωτότητες και εκθέσεις» (CVE), προμηθευτές ή προϊόντα που έχουν προσβληθεί ή πληροφορίες για «backdoor», «webshell» ή «implant» που έχουν παρατηρηθεί. Ένα παράδειγμα ετικέτας για την ομαδοποίηση προελεύσεων http_vulnerable
(τρωτό HTTP) θα μπορούσε να είναι: citrix
ή cve-2023-3519
.
Τέλος, καθώς προσθέτουμε περισσότερες ανιχνεύσεις στα σύνολα δεδομένων μας, καταλήγουμε με περισσότερες ετικέτες. Αυτό σημαίνει ότι ενδέχεται να εμφανίζονται νέες κατηγορίες προελεύσεων, ανάμεσα στις οποίες μπορείτε να επιλέξετε. Για παράδειγμα, το snmp
, παρ’ ότι υπάρχει ως ετικέτα για την προέλευση τύπου scan
(σάρωση), υπάρχει το ίδιο και ως προέλευση. Με τον τρόπο αυτό, μπορούμε να παρουσιάζουμε αποτελέσματα σάρωσης snmp με μεγαλύτερη ανάλυση, που επιτρέπει την προβολή ειδικών αποτελεσμάτων σάρωσης snmp που σχετίζονται με μια τρωτότητα όπως π.χ. cve-2017-6736
.
Γρήγοροι σύνδεσμοι προς κατηγορίες δεδομένων: Αριστερή γραμμή περιήγησης
Τα σύνολα δεδομένων που παρουσιάζονται συλλέγονται με διάφορες μεθόδους συλλογής μεγάλης κλίμακας, όπως είναι μεταξύ άλλων το «sinkholing», η σάρωση και το «honeypot». Αυτές οι κύριες κατηγορίες συνόλων δεδομένων εμφανίζονται στην αριστερή γραμμή περιήγησης, όπου κάθε τύπος κατηγορίας συμβολίζεται από ένα ξεχωριστό εικονίδιο.
Ο στόχος είναι να επιτρέπεται η ταχύτερη πρόσβαση σε συγκεκριμένες κατηγορίες προέλευσης. Παράδειγμα:
-
Sinkhole - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά προέλευση τύπου
sinkhole
. Στη συνέχεια, μπορείτε να προβάλετε ένα συγκεκριμένο αποτέλεσμα sinkhole, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών. -
Σαρώσεις - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά τον τύπο προέλευσης
scan
(σάρωση). (Η κατηγορία αυτή περιέχει αποτελέσματα σάρωσης για υπηρεσίες που παρουσιάζουν κάποιου είδους πρόβλημα ασφαλείας που σχετίζεται με αυτές. Μπορείτε αντίθετα να προβάλετε αποτελέσματα σάρωσης πληθυσμού, επιλέγονταςpopulation
(πληθυσμός) ως προέλευση.) Στη συνέχεια, μπορείτε να προβάλετε ένα συγκεκριμένο αποτέλεσμα σάρωσης, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών. -
Honeypot - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά προέλευση τύπου
honeypot
. Στη συνέχεια, μπορείτε να προβάλετε ένα συγκεκριμένο αποτέλεσμα honeypot, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών. -
DDoS - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά προέλευση τύπου
honeypot_ddos_amp
. Αυτές είναι επιθέσεις ενίσχυσης τύπου «κατανεμημένη επίθεση άρνησης εξυπηρέτησης» (Distributed Denial-of Service, DDoS), που παρατηρούνται από μοναδικούς στόχους σε μια συγκεκριμένη χώρα/ περιοχή. Στη συνέχεια, μπορείτε να προβάλετε μια συγκεκριμένη μέθοδο ενίσχυσης που έχει χρησιμοποιηθεί, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών. -
ICS - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά προέλευση τύπου
ics
, δηλ. αποτελεσμάτων σάρωσης εγγενών πρωτοκόλλων βιομηχανικών συστημάτων ελέγχου (Industrial Control Systems, ICS). Στη συνέχεια, μπορείτε να προβάλετε τα εγγενή πρωτόκολλα που χρησιμοποιήθηκαν, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών. -
Web CVE - παρέχει μια επισκόπηση συνόλων δεδομένων που έχουν ομαδοποιηθεί κατά προέλευση τύπου
http_vulnerable
(τρωτό HTTP) καιexchange
(διακομιστής Microsoft Exchange). Πρόκειται για τρωτές εφαρμογές του web, οι οποίες εμφανίζονται συνήθως στις σαρώσεις μας με το ακρωνύμιο CVE. Στη συνέχεια, μπορείτε να προβάλετε τα CVE ή τα προσβεβλημένα προϊόντα, επιλέγοντας μια ετικέτα ή μια ομάδα ετικετών.
Τα σύνολα δεδομένων μπορούν να διαιρεθούν περαιτέρω κατά χώρα ή ομαδοποιήσεις χωρών, περιοχές και ηπείρους.
Κάθε σύνολο δεδομένων περιγράφεται επίσης στο «Πληροφορίες για τα δεδομένα αυτά».
Σημειωτέον ότι δεν υπάρχουν άλλα διαθέσιμα σύνολα δεδομένων εκτός από εκείνα που έχουν επισημανθεί. Για παράδειγμα, η προέλευση τύπου beacon
(αναμεταδότης) σάς επιτρέπει να εξερευνήσετε πλαίσια (framework)/ διακομιστές C2 μετά από κακόβουλη εκμετάλλευση, που έχουμε εντοπίσει στις σαρώσεις μας, ενώ η προέλευση τύπου compromised_website
(προσβεβλημένη τοποθεσία web) σάς επιτρέπει να εξερευνήσετε προσβεβλημένα τερματικά σημεία στο web, που έχουμε εντοπίσει στις σαρώσεις μας.
Επάνω γραμμή περιήγησης
Η επάνω γραμμή περιήγησης περιέχει διάφορες επιλογές απεικόνισης για την παρουσίαση δεδομένων, καθώς και για την απεικόνιση συνόλων δεδομένων ταυτοποίησης συσκευών και παρατήρησης επιθέσεων.
Γενικά στατιστικά
Στα γενικά στατιστικά, περιλαμβάνεται η δυνατότητα απεικόνισης οποιασδήποτε προέλευσης και ετικέτας, μέσω των εξής επιλογών:
- Παγκόσμιος χάρτης - μια απεικόνιση ενός παγκόσμιου χάρτη, στον οποίο θα εμφανίζονται οι επιλεγμένες προελεύσεις και ετικέτες. Περιλαμβάνονται μεταξύ άλλων οι εξής επιπρόσθετες δυνατότητες: δυνατότητα εναλλαγής απεικόνισης για την εμφάνιση της πλέον συνήθους ετικέτας ανά χώρα και προέλευση, κανονικοποίηση κατά πληθυσμό, ΑΕΠ, συνδεδεμένους χρήστες κ.λπ. Μπορείτε επίσης να επιλέξετε δείκτες πάνω στον χάρτη, για να εμφανίσετε τιμές ανά χώρα.
- Χάρτης περιοχής - μια απεικόνιση χάρτη σε επίπεδο χώρας, η οποία διαιρείται περαιτέρω σε γεωγραφικές περιφέρειες και επαρχίες.
- Συγκριτικός χάρτης - ένας χάρτης σύγκρισης δύο χωρών.
- Χρονική αλληλουχία - ένα γράφημα που δείχνει συνδυασμούς προελεύσεων και ετικετών ως προς χρόνο. Σημειωτέον ότι η απεικόνιση αυτή επιτρέπει διάφορες μορφές ομαδοποιήσεων δεδομένων (όχι μόνον ανά χώρα).
- Απεικόνιση - προσφέρει διάφορες επιλογές περαιτέρω ανάλυσης των συνόλων δεδομένων, όπως μεταξύ άλλων μέσες τιμές ως προς χρόνο. Η επιλογή αυτή επιτρέπει την εμφάνιση δεδομένων σε μορφή πινάκων, γραφήματος ράβδων, διαγράμματος φυσαλίδων κ.ά.
Στατιστικά (ταυτοποίησης) συσκευών IoT
Αυτό το σύνολο δεδομένων και οι σχετικές με αυτό απεικονίσεις παρέχουν ένα ημερήσιο στιγμιότυπο εκτεθειμένων τερματικών σημείων, ομαδοποιημένων κατά εκτεθειμένους προμηθευτές και τα προϊόντα τους, που εντοπίστηκαν μέσω των σαρώσεών μας. Τα δεδομένα κατηγοριοποιούνται κατά προμηθευτή, μοντέλο και τύπο συσκευής. Αυτά ταυτοποιούνται με διάφορους τρόπους, όπως μεταξύ άλλων: περιεχόμενο ιστοσελίδων, πιστοποιητικά SSL/TLS, εμφανιζόμενα πανώ κ.λπ. Τα σύνολα δεδομένων περιέχουν μόνον δεδομένα πληθυσμού, δηλ. χωρίς αξιολόγηση τυχόν τρωτοτήτων που σχετίζονται με τα εκτεθειμένα τερματικά σημεία (εάν ενδιαφέρεστε γι’ αυτές, επιλέξτε προελεύσεις, όπως π.χ. http_vulnerable
(τρωτό HTTP), κάτω από το «Γενικά στατιστικά»).
Υπάρχουν παρόμοια διαγράμματα απεικόνισης με εκείνα στο «Γενικά στατιστικά», με τη διαφορά ότι, αντί της χρήσης προελεύσεων και ετικετών, μπορείτε να προβάλετε (και να ομαδοποιήσετε κατά) προμηθευτές, μοντέλα και τύπους συσκευών.
Στατιστικά επιθέσεων: Τρωτότητες
Αυτό το σύνολο δεδομένων και οι σχετικές με αυτό απεικονίσεις παρέχουν ένα ημερήσιο στιγμιότυπο επιθέσεων που εντοπίστηκαν από το δίκτυο αισθητήρων honeypot μας, με εστίαση σε τρωτότητες που χρησιμοποιήθηκαν για κακόβουλη εκμετάλλευση. Αυτές περιλαμβάνουν μεταξύ άλλων τη δυνατότητα προβολής προϊόντων που δέχονται συχνότερα επίθεση και την εξερεύνηση του τρόπου επίθεσής τους (δηλ. μέσω ποιας κακοβούλως εκμεταλλευθείσας τρωτότητας, όπως μεταξύ άλλων συγκεκριμένες CVE που υπέστησαν κακόβουλη εκμετάλλευση). Μπορείτε επίσης να προβάλετε γραφήματα ανά προέλευση επιθέσεων και προορισμούς.
Υπάρχουν παρόμοια διαγράμματα απεικόνισης με εκείνα στο «Γενικά στατιστικά», με τη διαφορά ότι, αντί της χρήσης προελεύσεων και ετικετών, μπορείτε να προβάλετε (και να ομαδοποιήσετε κατά) προμηθευτή, τρωτότητα, καθώς και κατά προέλευση και προορισμό των επιθέσεων.
Έχει προστεθεί επίσης μια επιπλέον κατηγορία απεικονίσεων, η Παρακολούθηση:
Πρόκειται για έναν καθημερινώς ενημερωνόμενο πίνακα των συνηθέστερων κακοβούλως εκμεταλλευθεισών τρωτοτήτων, ομαδοποιημένων κατά μοναδικές δ/νσεις IP προέλευσης που παρατηρήθηκαν να επιτίθενται (ή, εάν επιλέξετε «στατιστικά αποπειρών σύνδεσης», απόπειρες επίθεσης που διαπιστώθηκαν). Τα δεδομένα προέρχονται από το δίκτυο αισθητήρων honeypot μας. Τα δεδομένα ομαδοποιούνται κατά κακοβούλως εκμεταλλευθείσες τρωτότητες. Περιλαμβάνονται επίσης χαρτογραφήσεις γνωστών κακοβούλως εκμεταλλευθεισών τρωτοτήτων κατά CISA (όπως μεταξύ άλλων κατά πόσον είναι γνωστό ότι η κακόβουλη εκμετάλλευση έγινε από ομάδα ransomware, καθώς και κατά πόσον η επίθεση έγινε εναντίον συσκευής IoT αντί εναντίον εφαρμογής διακομιστή).
Από προεπιλογή, η απεικόνιση αυτή δείχνει τις πλέον συνήθεις τρωτότητες που υπέστησαν κακόβουλη εκμετάλλευση σε ολόκληρο τον κόσμο, μπορείτε ωστόσο να την περιορίσετε σε συγκεκριμένη χώρα ή να ομαδοποιήσετε ή να εμφανίσετε αντ’ αυτής έναν πίνακα ανωμαλιών.
Στατιστικά επιθέσεων: Συσκευές
Αυτό το σύνολο δεδομένων και οι σχετικές απεικονίσεις παρέχουν ένα ημερήσιο στιγμιότυπο των τύπων επιτιθέμενων συσκευών που εντοπίστηκαν από το δίκτυο αισθητήρων honeypot μας. Η «δακτυλοσκόπηση» (fingerprinting) των εν λόγω συσκευών γίνεται μέσω των ημερήσιων σαρώσεών μας. Αυτά τα σύνολα δεδομένων επιτρέπουν την ιχνηλάτηση συγκεκριμένων τύπων επίθεσης, προμηθευτών ή μοντέλων συσκευών και μπορούν να περιοριστούν περαιτέρω κατά χώρα.
Υπάρχουν παρόμοια διαγράμματα απεικόνισης με εκείνα στο «Γενικά στατιστικά», με τη διαφορά ότι, αντί της χρήσης προελεύσεων και ετικετών, μπορείτε να προβάλετε (και να ομαδοποιήσετε κατά) τύπο επίθεσης ή προμηθευτή/ μοντέλο συσκευής.
Έχει προστεθεί επίσης μια επιπλέον κατηγορία απεικονίσεων, η Παρακολούθηση:
Πρόκειται για έναν καθημερινώς ενημερωνόμενο πίνακα των συνηθέστερων επιτιθέμενων συσκευών, διαπιστωμένων κατά μοναδικές δ/νσεις IP προέλευσης που παρατηρήθηκαν να επιτίθενται (ή, εάν επιλέξετε «στατιστικά αποπειρών σύνδεσης», απόπειρες επίθεσης που διαπιστώθηκαν). Όπως συμβαίνει με όλα τα σύνολα δεδομένων που εμφανίζονται στην κατηγορία αυτή, αυτά προέρχονται από το δίκτυο αισθητήρων honeypot μας. Έχουν ομαδοποιηθεί κατά τύπο επίθεσης που έχει διαπιστωθεί, προμηθευτή και μοντέλο (εάν οι σχετικές πληροφορίες είναι διαθέσιμες). Προσδιορίζουμε την επιτιθέμενη συσκευή συσχετίζοντας τις δ/νσεις IP που έχουν διαπιστωθεί με τα αποτελέσματα της καθημερινής “δακτυλοσκόπησης» σάρωσης συσκευών που διενεργούμε (βλ. ενότητα «Στατιστικά (ταυτοποίησης) συσκευών IoT»).
Από προεπιλογή, στη συγκεκριμένη απεικόνιση εμφανίζονται οι συνηθέστερες επιτιθέμενες συσκευές (ανά προέλευση) που έχουν διαπιστωθεί να επιτίθενται (όπως μεταξύ άλλων και περιπτώσεις όπου δεν μπορούμε να ταυτοποιήσουμε μια συσκευή ή, για παράδειγμα, όπου μπορούμε να ταυτοποιήσουμε μόνον έναν προμηθευτή). Μπορείτε να περιορίσετε την απεικόνιση σε συγκεκριμένη χώρα ή να ομαδοποιήσετε ή να εμφανίσετε αντ’ αυτής έναν πίνακα ανωμαλιών.