Descripción general del panel

El panel de Shadowserver presenta estadísticas de alto nivel que reflejan los principales conjuntos de datos que Shadowserver recopila y comparte a través de sus actividades diarias en más de 100 informes diarios. Los conjuntos de datos permiten identificar la superficie de ataque expuesta, vulnerabilidades, configuraciones incorrectas, compromisos de redes y observaciones de ataques. Los datos, compartidos en forma de informes, contienen información detallada a nivel de IP sobre una red o área contenida en particular. El panel de control de Shadowserver no permite este nivel de granularidad. En cambio, presenta estadísticas de alto nivel que reflejan estas actividades. Esto permite obtener información sobre las últimas amenazas, vulnerabilidades e incidentes emergentes, proporcionando conocimiento de la situación a la comunidad en general y al mismo tiempo preservando el anonimato de las partes involucradas.

Fuentes y etiquetas

La presentación de datos se organiza en torno a sources (fuentes) y tags (etiquetas). Una fuente es esencialmente una agrupación de datos de alguna forma. Las fuentes básicas son honeypot, population (población), scan (escaneo), sinkhole. Tanto la población como el escaneo son conjuntos de datos basados en escaneos, siendo la población un recuento de puntos finales de exposición sin una evaluación de vulnerabilidad/seguridad. Un sufijo 6 representa datos IPv6 (todas las entradas sin el sufijo se refieren a datos IPv4).

Las fuentes pueden tener etiquetas asociadas que proporcionen contexto adicional para los datos que se presentan. Por ejemplo, etiquetas para scan incluirán los diferentes tipos de escaneo reales (es decir, servicios/protocolos que se escanean como telnet, ftp y rdp). Las etiquetas para sinkhole reflejaría las familias de malware reales que se conectan a un sinkhole (es decir, hosts infectados por un tipo de familia de malware como adload, andromeda y necurs).

Las etiquetas proporcionan información adicional sobre los datos presentados.

Además, también introducimos agrupaciones de fuentes adicionales para reflejar mejor las observaciones sobre hosts vulnerables o comprometidos, por ejemplo, http_vulnerable o compromised_website. Por lo general, contendrán etiquetas que reflejan vulnerabilidades CVE específicas, proveedores o productos afectados o información sobre puertas traseras, webshells o implantes vistos. Un ejemplo para http_vulnerable sería citrix o cve-2023-3519.

Finalmente, a medida que agregamos más detecciones a nuestros conjuntos de datos, terminamos con más etiquetas. Esto significa que pueden aparecer nuevas categorías de fuentes entre las que elegir. Por ejemplo, aunque snmp es una etiqueta presente en la fuente scan (escaneo), también aparece como fuente. Esto nos permite presentar resultados de escaneo SNMP más granulares que permiten ver resultados de escaneo SNMP específicos asociados con una vulnerabilidad como cve-2017-6736.

Enlaces rápidos a categorías de datos: barra de navegación izquierda

Los conjuntos de datos presentados se recopilan mediante diversos métodos de recopilación a gran escala, incluyendo sinkholes, escaneos y honeypots. Estas categorías principales de los conjuntos de datos se comparten en la barra de navegación izquierda, y cada tipo de categoría está simbolizada por un icono diferente.

El objetivo es permitir inmersiones más rápidas en categorías de source (fuente) particulares. Por ejemplo:

  • Sinkholes: regresa una descripción general de los conjuntos de datos agrupados por fuente sinkhole. Luego puede ver el resultado de un sinkhole en particular seleccionando una etiqueta o grupo de etiquetas.
  • Scans (Escaneos): regresa una descripción general de los conjuntos de datos agrupados por fuente scan (escaneo) (esta categoría contiene resultados de escaneo para servicios que tienen algún tipo de problema de seguridad asociado con ellos, también puede ver los resultados del escaneo de población seleccionando fuente population (población) en su lugar). Luego puede ver el resultado de un escaneo en particular seleccionando una etiqueta o grupo de etiquetas.
  • Honeypots: regresa una descripción general de los conjuntos de datos agrupados por fuente honeypot. Luego puede ver el resultado de un honeypot en particular seleccionando una etiqueta o grupo de etiquetas.
  • DDoS: regresa una descripción general de los conjuntos de datos agrupados por fuente honeypot_ddos_amp. Estos son ataques DDoS de amplificación vistos por objetivos únicos en un país/región en particular. Luego puede ver un método de amplificación particular utilizado seleccionando una etiqueta o grupo de etiquetas.
  • ICS: regresa una descripción general de los conjuntos de datos agrupados por fuente ics (que son resultados de escaneo de protocolos nativos de sistemas de control industrial). Luego puede ver los protocolos nativos utilizados seleccionando una etiqueta o grupo de etiquetas.
  • Web CVEs: regresa una descripción general de los conjuntos de datos agrupados por http_vulnerable y exchange (intercambio). Se trata de aplicaciones web vulnerables identificadas en nuestros análisis, normalmente mediante CVE. Puede ver los CVE o los productos afectados seleccionando una etiqueta o grupo de etiquetas.

Los conjuntos de datos se pueden desglosar por país o agrupaciones de países, regiones y continentes.

Cada conjunto de datos también se describe en "About this data" (Acerca de estos datos).

Tenga en cuenta que hay más conjuntos de datos disponibles además de los resaltados. Por ejemplo, la fuente beacon (baliza) le permitirá explorar los marcos C2 posteriores a la explotación que vemos en nuestros análisis, y la fuente compromised_website (sitioweb_comprometido) le permitirá explorar los puntos finales web comprometidos que se ven en nuestros análisis.

Barra de navegación superior

La barra de navegación superior permite varias opciones de visualización para la presentación de datos, así como la visualización de conjuntos de datos de identificación de dispositivos y observación de ataques.

Estadísticas generales

Las estadísticas generales incluyen la capacidad de visualizar cualquier source (fuente) y tag (etiqueta) seleccionando:

  • World map (Mapa mundial): visualización de un mapa mundial que muestra sources (fuentes) y tags (etiquetas) seleccionadas. Las características adicionales incluyen: capacidad de cambiar la visualización para mostrar las etiquetas más comunes por país por fuente, normalización por población, PIB, conectar usuarios, etc. También puede seleccionar marcadores en el mapa para mostrar valores por país.
  • Region map (Mapa de la región): visualización de un mapa a nivel de país con los países divididos en regiones y provincias.
  • Comparison map (Mapa comparativo): un mapa comparativo de dos países.
  • Time series (Serie temporal): un gráfico que muestra combinaciones de source (fuente) y tag (etiqueta) a lo largo del tiempo. Tenga en cuenta que permite diferentes formas de agrupación de datos (no solo por país).
  • Visualization (Visualización): ofrece varias opciones para profundizar en los conjuntos de datos, incluyendo promedios de valores a lo largo del tiempo. Permite mostrar datos en forma de tablas, gráficos de barras, diagramas de burbujas y más.

Estadísticas de dispositivos del IoT (estadísticas de identificación de dispositivos)

Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los puntos finales expuestos agrupados por proveedores expuestos y sus productos identificados a través de nuestros análisis. Los datos se clasifican por proveedor, modelo y tipo de dispositivo. Estos se identifican a través de diversos medios, incluido el contenido de la página web, certificados SSL/TLS, pancartas mostradas, etc. Los conjuntos de datos contienen únicamente datos de población, es decir, no se realiza ninguna evaluación de las vulnerabilidades asociadas con los puntos finales expuestos (para encontrarlas, seleccione fuentes como, por ejemplo http_vulnerable en "General statistics" (Estadísticas generales)).

Existen gráficos de visualización similares a los de "General statistics" (Estadísticas generales), con la diferencia de que en lugar de utilizar sources (fuentes) y tags (etiquetas) puede ver (y agrupar por) vendors (proveedores), models (modelos) y device types (tipos de dispositivos) en su lugar.

Estadísticas de ataques: vulnerabilidades

Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los ataques vistos por nuestra red de sensores honeypot, con un enfoque en las vulnerabilidades utilizadas para la explotación. Estos incluyen la capacidad de ver los productos que son atacados con mayor frecuencia y explorar cómo son atacados (es decir, por qué vulnerabilidad explotada, que puede incluir un CVE particular que se esté explotando). También puede ver gráficos por origen de los ataques y destinos.

Existen gráficos de visualización similares a los de "General statistics" (Estadísticas generales), con la diferencia de que en lugar de utilizar sources (fuentes) y tags (etiquetas), puede ver (y agrupar por) vendor (proveedor), vulnerability (vulnerabilidad) así como source (fuente) y destination (destino) de los ataques.

También se ha agregado una categoría de visualización adicional, Monitoring (Monitoreo):

Esta es una tabla diaria actualizada de las vulnerabilidades explotadas más comunes agrupadas por IP de origen únicas observadas como ataques (o intentos de ataque vistos, si selecciona la opción estadística de intentos de conexión). Los datos provienen de nuestra red de sensores honeypot. Los datos se agrupan por vulnerabilidades explotadas. También incluye asignaciones de vulnerabilidades explotadas conocidas de CISA (incluido si se sabe que están explotadas por un grupo de ransomware), así como si el ataque se realiza contra un dispositivo IoT en lugar de una aplicación de servidor.

De forma predeterminada, la pantalla muestra las vulnerabilidades más comunes explotadas en todo el mundo, pero también puede filtrar por país o grupo en particular o mostrar una tabla de anomalías.

Estadísticas de ataques: dispositivos

Este conjunto de datos y las visualizaciones asociadas proporcionan una instantánea diaria de los tipos de dispositivos atacantes vistos por nuestra red de sensores honeypot. La toma de huellas digitales de estos dispositivos se realiza mediante nuestros escaneos diarios. Los conjuntos de datos permiten el seguimiento de tipos de ataques, proveedores de dispositivos o modelos particulares y pueden filtrarse por país.

Existen gráficos de visualización similares a los de "General statistics" (Estadísticas generales), con la diferencia de que en lugar de utilizar sources (fuentes) y tags (etiquetas) puede ver (y agrupar por) vendors (proveedores), models (modelos) y device types (tipos de dispositivos) en su lugar.

También se ha agregado una categoría de visualización adicional, Monitoring (Monitoreo):

Esta es una tabla diaria actualizada de los dispositivos de ataque más comunes vistos por IP de origen único observados (o intentos de ataque vistos, si selecciona la opción de estadística de intentos de conexión). Como ocurre con todos los conjuntos de datos que se muestran en esta categoría, proviene de nuestra red de sensores honeypot. Está agrupado por tipo de ataque visto, proveedor y modelo (si está disponible). Determinamos el dispositivo atacante correlacionando las IP vistas con los resultados de nuestro escaneo diario de huellas digitales del dispositivo (consulte la sección "IoT device statistics" (Estadísticas de dispositivos del IoT)).

De forma predeterminada, la pantalla muestra los dispositivos atacantes más comunes (por fuente) vistos atacando (esto incluye casos en los que no podemos identificar un dispositivo o, por ejemplo, solo identificar a un proveedor). Puede optar por filtrar por país o grupo en particular o mostrar una tabla de anomalías.

El desarrollo del panel de control de Shadowserver fue financiado por UK FCDO. Estadísticas de huellas digitales de dispositivos del IoT y estadísticas de ataques de honeypot cofinanciadas por el proyecto (VARIoT del CEF (Mecanismo Conectar Europa) de la Unión Europea).

Nos gustaría agradecer a todos nuestros socios que amablemente contribuyen con los datos utilizados en el panel de control de Shadowserver, incluyendo (alfabéticamente) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University y todos aquellos que han optado por permanecer en el anonimato.

Shadowserver utiliza cookies para recopilar análisis. Esto nos permite medir cómo se utiliza el sitio y mejorar la experiencia de nuestros usuarios. Para obtener más información sobre las cookies y cómo las utiliza Shadowserver, consulte nuestra Política de Privacidad. Necesitamos su consentimiento para utilizar cookies de esta manera en su dispositivo.