Andmelaua ülevaade
Shadowserveri andmelaual kuvatakse kõrgel tasemel statistikat, mis peegeldab peamisi andmestuid, mida Shadowserver kogub ja jagab oma igapäevases tegevuses üle 100 igapäevase aruande kaudu. Andmestud võimaldavad tuvastada nähtava ründepinna, turvaaugud, vale konfiguratsiooni, võrgurikkumised ning tähelepanekud rünnetest. Aruannete kujul jagatud andmed sisaldavad üksikasjalikku IP tasemel teavet, mis puudutab kindlat võrku või kasutajaskonda. Shadowserveri andmelaud ei võimalda sellisel tasemel detailsust. Selle asemel esitab see kõrgel tasemel statistikat, mis peegeldab neid tegevusi. See võimaldab saada ülevaate uusimatest tekkinud ohtudest, turvaaukudest ja juhtumitest, mis teavitab olukorrast laiemat kogukonda, kuid säilitab kõigi osaliste anonüümsuse.
Allikad ja sildid
Andmete esitamine põhineb allikatel ja siltidel. Allikas on peamiselt mingil kujul andmete grupp. Põhilised allikad on honeypot
, population
, scan
, sinkhole
. Nii populatsioon kui ka skannimine on skannimispõhised andmestud, kusjuures populatsioon esindab nähtavate lõppseadmete arvu ilma turvaauke/turvalisust hindamata. Järelliide 6
viitab IPv6 andmetele (kõik kirjed, millel järelliide puudub, viitavad IPv4 andmetele).
Allikatega võivad olla seotud sildid, mis pakuvad esitatavatele andmetele täiendavat konteksti. Näiteks scan
sildid hõlmavad tegelikke erinevaid skannimise tüüpe (nt skannitavad teenused/protokollid, nagu telnet
, ftp
ja rdp
). sinkhole
sildid viitavad tegelikele ründevara perekondadele, mis loovad uhteserveriga ühenduse (st hostid, mis on nakatatud ründevara perekonnatüüpide poolt, nagu adload
, andromeda
ja necurs
).
Sildid annavad esitatud andmete kohta täiendava ülevaate.
Lisaks esitleme täiendavaid allikate gruppe, mis võimaldavad turvaaukudega või rikutud hoste puudutavaid tähelepanekuid paremini peegeldada, näiteks http_vulnerable
või compromised_website
. Need sisaldavad tavaliselt silte, mis peegeldavad kindlaid CVE turvaauke, mõjutatud tarnijaid või tooteid või teavet leitud tagauste, veebikestade või implantaatide kohta. Üksuse http_vulnerable
näide on citrix
või cve-2023-3519
.
Lõpuks, kui lisame andmestutele rohkem tuvastusi, tekib rohkem silte. See tähendab, et võivad tekkida uued allikate kategooriad, mille hulgast saate valida. Näiteks kuigi snmp
on silt allikas scan
, on see esindatud ka allikana. See võimaldab meil esitada detailsemaid snmp skannimise tulemusi, mille abil saab kuvada täpsemaid snmp skannimise tulemusi, mis seonduvad selliste turvaaukudega nagu cve-2017-6736
.
Andmekategooriate otselingid: Vasak navigeerimisriba
Esitatud andmestud on kogutus erinevate suuremahuliste kogumismeetoditega, sh uhteserverid, skannimine ja meepurgid. Neid peamisi andmestute kategooriaid jagatakse vasakul navigeerimisribal, kus igat kategooria tüüpi tähistab eri ikoon.
Selle eesmärk on võimaldada kiiremat ligipääsu kindlale allika kategooriale. Näide.
-
Uhteserverid annab ülevaate allika
sinkhole
järgi grupeeritud andmestutest. Seejärel saate vaadata kindlat uhteserveri tulemust, valides sildi või siltide grupi. -
Skannimised annab ülevaate allika
scan
järgi grupeeritud andmestutest (see kategooria hõlmab skannimise tulemusi teenuste puhul, millega seondub mingi turvaprobleem, saate vaadata ka populatsiooni skannimise tulemusi, valides allikapopulation
). Seejärel saate vaadata kindlat skannimistulemust, valides sildi või siltide grupi. -
Meepurgid annab ülevaate allika
honeypot
järgi grupeeritud andmestutest. Seejärel saate vaadata kindlat meepurgi tulemust, valides sildi või siltide grupi. -
DDoS annab ülevaate allika
honeypot_ddos_amp
järgi grupeeritud andmestutest. Need on võimendatud DDoS-i ründed, mis on tehtud kordumatutele sihtmärkidele kindlas riigis/regioonis. Seejärel saate vaadata kindlat kasutatud võimendamise meetodit, valides sildi või siltide grupi. -
ICS annab ülevaate allika
ics
järgi grupeeritud andmestutest (mis on protsessijuhtimissüsteemide protokollide skannimise tulemused). Seejärel saate vaadata omaprotokolle, valides sildi või siltide grupi. -
Veebi CVE-d annab ülevaate omaduste
http_vulnerable
jaexchange
järgi grupeeritud andmestutest. Need on haavatavad veebirakendused, mida meie skannimistel CVE tavaliselt tuvastab. Saate vaadata CVE-sid või puudutatud tooteid, valides sildi või siltide grupi.
Andmestuid saab vaadata riigi või riikide grupi, piirkonna ja maailmajao järgi.
Igat andmestut kirjeldatakse ka jaotises „Teave nende andmete kohta“.
Pange tähele, et lisaks esile tõstetud andmestutele on saadaval veel andmestuid. Näiteks allikas beacon
võimaldab vaadata ärakasutamisjärgse raamistiku C2-sid, mida oma skannimistes näeme, ning allikas compromised_website
võimaldab vaadata meie skannimistega leitud rikutud veebi lõppseadmeid.
Ülemine navigeerimisriba
Ülemisel navigeerimisribal on saadaval erinevad visualiseerimisvalikud andmete esitamiseks ning seadme tuvastamise ja ründe leidmise andmekogude visualiseerimiseks.
Üldine statistika
Üldine statistika võimaldab visualiseerida igat allikat ja silti, valides:
- Maailmakaart – maailmakaardi kuva, millel on näidatud valitud allikad ja sildid. Lisafunktsioonid: võimalus lülitada ekraan kuvama iga riigi kohta allika järgi kõige levinumat silti, normaliseerimine populatsiooni järgi, SKT, kasutajate ühendamine jne. Samuti saate kaardil valitud markerite abil lasta kuvada väärtused riigi kohta.
- Regiooni kaart – riikide kaadi kuva, kus riigid on jagatud regioonideks ja provintsideks.
- Võrdluskaart – kahe riigi võrdluskaart.
- Ajasari – diagramm, millel kujutatakse allika ja sildi kombinatsioone aja vältel. Pange tähele, et see võimaldab andmeid erinevalt grupeerida (mitte ainult riigiti).
- Visualiseerimine pakub andmestute uurimiseks mitmesuguseid valikuid, sh väärtuste keskmised aja vältel. Võimaldab kuvada andmeid tabelites, tulpdiagrammides, mulldiagrammides ja muul kujul.
IoT-seadmete statistika (seadme tuvastamise statistika)
See andmestu ja sellega seotud visualiseerimised pakuvad igapäevast hetkvõtet nähtavatest lõppseadmetest nähtavate tarnijate ja nende toodete järgi, mis on tuvastatud meie skannimistega. Andmed on jagatud kategooriatesse tarnija, mudeli ja seadme tüübi järgi. Need on tuvastatud erinevate meetoditega, sh veebilehe sisu, SSL-/TLS-sertifikaadid, kuvatavad ribareklaamid jne. Andmestud sisaldavad ainult populatsiooni andmeid, st nähtavate lõppseadmetega seotud turvaaukude kohta ei anta hinnangut (nende leidmiseks valige allikad, nagu http_vulnerable
menüüs Üldine statistika).
Visualiseerimisdiagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) tarnijate, mudelite ja seadme tüüpide järgi.
Ründestatistika: Turvaaugud
See andmestu ja sellega seotud visualiseerimised pakuvad igapäevast hetkvõtet rünnetest, mille on leidnud meie meepurgiandurite võrk, esiplaanil on ärakasutamiseks kasutatud turvaaugud. Need hõlmavad võimalust vaadata kõige sagedamini rünnatud tooteid ning uurida, kuidas neid rünnatakse (st millised on ära kasutatud turvaaugud, mis võivad hõlmata kindlat ära kasutatavad CVE-d). Saate vaadata ka rünnete allika ja sihtkohtade põhjal koostatud diagramme.
Visualiseerimisdiagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) rünnete tarnija, turvaaugu ning allika ja sihtkoha järgi.
Lisatud on ka täiendav visualiseerimise kategooria „Jälgimine“:
See on värskendatud igapäevane tabel, kus on levinuimad ära kasutatud turvaaugud, mis on grupeeritud kordumatute lähte-IP-de järgi, kus leiti ründeid (või rünnete katseid, kui valite ühendamise katsete valiku). Andmed pärinevad meie meepurgiandurite võrgust. Andmed on grupeeritud ära kasutatud turvaaukude järgi. See hõlmab ka CSIA teadaolevaid ära kasutatud turvaaukude vastendusi (sh seda, kas tegemist on teadaoleva ärakasutamisega lunavaragrupi poolt) ning seda, kas rünne toimus IoT-seadme, mitte serverirakenduse vastu.
Vaikimisi kuvatakse ekraanil kõige sagedamini ära kasutatud turvaaugud kogu maailmas, kuid andmeid on võimalik filtreerida ka kindla riigi või grupi järgi või kuvada hoopis anomaaliate tabel.
Ründestatistika: Seadmed
See andmestu ja sellega seotud visualiseerimised annavad päevase hetkvõtte ründavate seadmete tüüpidest, nagu seda näeb meie meepurgiandurite võrk. Nende seadmete tunnustuvastamine toimub meie igapäevaste skannimiste abil. Andmestud võimaldavad jälgida kindlaid rünnete tüüpe, seadmete tarnijaid või mudeleid ning neid saab filtreerida riigi järgi.
Diagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) ründe tüübi, seadme tarnija või mudeli järgi.
Lisatud on ka täiendav visualiseerimise kategooria „Jälgimine“:
See on värskendatud igapäevane tabel, kus on levinuimad leitud ründavad seadmed, mis on grupeeritud kordumatute lähte-IP-de järgi, kus leiti ründeid (või rünnete katseid, kui valite ühendamise katsete valiku). Nagu kõigi selles kategoorias kuvatavate andmestute puhul, saadakse need andmed meie meepurgiandurite võrgust. See on grupeeritud leitud ründe tüübi, tarnija ja mudeli järgi (kui need andmed on saadaval). Ründava seadme kindlakstegemiseks korreleerime leitud IP-sid igapäevase seadmete skannimise tunnustuvastamisega (vt jaotist „IoT-seadmete statistika“).
Vaikimisi kuvatakse levinuimaid leitud ründavaid seadmeid (allika järgi) (see hõlmab juhtumeid, mille puhul me ei suuda tuvastada seadet või näiteks selleks, et tuvastada ainult tarnija). Saate filtreerida kindla riigi või grupi järgi või kuvada hoopis anomaaliate tabeli.