Andmelaua ülevaade

Shadowserveri andmelaual kuvatakse kõrgel tasemel statistikat, mis peegeldab peamisi andmestuid, mida Shadowserver kogub ja jagab oma igapäevases tegevuses üle 100 igapäevase aruande kaudu. Andmestud võimaldavad tuvastada nähtava ründepinna, turvaaugud, vale konfiguratsiooni, võrgurikkumised ning tähelepanekud rünnetest. Aruannete kujul jagatud andmed sisaldavad üksikasjalikku IP tasemel teavet, mis puudutab kindlat võrku või kasutajaskonda. Shadowserveri andmelaud ei võimalda sellisel tasemel detailsust. Selle asemel esitab see kõrgel tasemel statistikat, mis peegeldab neid tegevusi. See võimaldab saada ülevaate uusimatest tekkinud ohtudest, turvaaukudest ja juhtumitest, mis teavitab olukorrast laiemat kogukonda, kuid säilitab kõigi osaliste anonüümsuse.

Allikad ja sildid

Andmete esitamine põhineb allikatel ja siltidel. Allikas on peamiselt mingil kujul andmete grupp. Põhilised allikad on honeypot, population, scan, sinkhole. Nii populatsioon kui ka skannimine on skannimispõhised andmestud, kusjuures populatsioon esindab nähtavate lõppseadmete arvu ilma turvaauke/turvalisust hindamata. Järelliide 6 viitab IPv6 andmetele (kõik kirjed, millel järelliide puudub, viitavad IPv4 andmetele).

Allikatega võivad olla seotud sildid, mis pakuvad esitatavatele andmetele täiendavat konteksti. Näiteks scan sildid hõlmavad tegelikke erinevaid skannimise tüüpe (nt skannitavad teenused/protokollid, nagu telnet, ftp ja rdp). sinkhole sildid viitavad tegelikele ründevara perekondadele, mis loovad uhteserveriga ühenduse (st hostid, mis on nakatatud ründevara perekonnatüüpide poolt, nagu adload, andromeda ja necurs).

Sildid annavad esitatud andmete kohta täiendava ülevaate.

Lisaks esitleme täiendavaid allikate gruppe, mis võimaldavad turvaaukudega või rikutud hoste puudutavaid tähelepanekuid paremini peegeldada, näiteks http_vulnerable või compromised_website. Need sisaldavad tavaliselt silte, mis peegeldavad kindlaid CVE turvaauke, mõjutatud tarnijaid või tooteid või teavet leitud tagauste, veebikestade või implantaatide kohta. Üksuse http_vulnerable näide on citrix või cve-2023-3519.

Lõpuks, kui lisame andmestutele rohkem tuvastusi, tekib rohkem silte. See tähendab, et võivad tekkida uued allikate kategooriad, mille hulgast saate valida. Näiteks kuigi snmp on silt allikas scan, on see esindatud ka allikana. See võimaldab meil esitada detailsemaid snmp skannimise tulemusi, mille abil saab kuvada täpsemaid snmp skannimise tulemusi, mis seonduvad selliste turvaaukudega nagu cve-2017-6736.

Andmekategooriate otselingid: Vasak navigeerimisriba

Esitatud andmestud on kogutus erinevate suuremahuliste kogumismeetoditega, sh uhteserverid, skannimine ja meepurgid. Neid peamisi andmestute kategooriaid jagatakse vasakul navigeerimisribal, kus igat kategooria tüüpi tähistab eri ikoon.

Selle eesmärk on võimaldada kiiremat ligipääsu kindlale allika kategooriale. Näide.

  • Uhteserverid annab ülevaate allika sinkhole järgi grupeeritud andmestutest. Seejärel saate vaadata kindlat uhteserveri tulemust, valides sildi või siltide grupi.
  • Skannimised annab ülevaate allika scan järgi grupeeritud andmestutest (see kategooria hõlmab skannimise tulemusi teenuste puhul, millega seondub mingi turvaprobleem, saate vaadata ka populatsiooni skannimise tulemusi, valides allika population). Seejärel saate vaadata kindlat skannimistulemust, valides sildi või siltide grupi.
  • Meepurgid annab ülevaate allika honeypot järgi grupeeritud andmestutest. Seejärel saate vaadata kindlat meepurgi tulemust, valides sildi või siltide grupi.
  • DDoS annab ülevaate allika honeypot_ddos_amp järgi grupeeritud andmestutest. Need on võimendatud DDoS-i ründed, mis on tehtud kordumatutele sihtmärkidele kindlas riigis/regioonis. Seejärel saate vaadata kindlat kasutatud võimendamise meetodit, valides sildi või siltide grupi.
  • ICS annab ülevaate allika ics järgi grupeeritud andmestutest (mis on protsessijuhtimissüsteemide protokollide skannimise tulemused). Seejärel saate vaadata omaprotokolle, valides sildi või siltide grupi.
  • Veebi CVE-d annab ülevaate omaduste http_vulnerable ja exchange järgi grupeeritud andmestutest. Need on haavatavad veebirakendused, mida meie skannimistel CVE tavaliselt tuvastab. Saate vaadata CVE-sid või puudutatud tooteid, valides sildi või siltide grupi.

Andmestuid saab vaadata riigi või riikide grupi, piirkonna ja maailmajao järgi.

Igat andmestut kirjeldatakse ka jaotises „Teave nende andmete kohta“.

Pange tähele, et lisaks esile tõstetud andmestutele on saadaval veel andmestuid. Näiteks allikas beacon võimaldab vaadata ärakasutamisjärgse raamistiku C2-sid, mida oma skannimistes näeme, ning allikas compromised_website võimaldab vaadata meie skannimistega leitud rikutud veebi lõppseadmeid.

Ülemine navigeerimisriba

Ülemisel navigeerimisribal on saadaval erinevad visualiseerimisvalikud andmete esitamiseks ning seadme tuvastamise ja ründe leidmise andmekogude visualiseerimiseks.

Üldine statistika

Üldine statistika võimaldab visualiseerida igat allikat ja silti, valides:

  • Maailmakaart – maailmakaardi kuva, millel on näidatud valitud allikad ja sildid. Lisafunktsioonid: võimalus lülitada ekraan kuvama iga riigi kohta allika järgi kõige levinumat silti, normaliseerimine populatsiooni järgi, SKT, kasutajate ühendamine jne. Samuti saate kaardil valitud markerite abil lasta kuvada väärtused riigi kohta.
  • Regiooni kaart – riikide kaadi kuva, kus riigid on jagatud regioonideks ja provintsideks.
  • Võrdluskaart – kahe riigi võrdluskaart.
  • Ajasari – diagramm, millel kujutatakse allika ja sildi kombinatsioone aja vältel. Pange tähele, et see võimaldab andmeid erinevalt grupeerida (mitte ainult riigiti).
  • Visualiseerimine pakub andmestute uurimiseks mitmesuguseid valikuid, sh väärtuste keskmised aja vältel. Võimaldab kuvada andmeid tabelites, tulpdiagrammides, mulldiagrammides ja muul kujul.

IoT-seadmete statistika (seadme tuvastamise statistika)

See andmestu ja sellega seotud visualiseerimised pakuvad igapäevast hetkvõtet nähtavatest lõppseadmetest nähtavate tarnijate ja nende toodete järgi, mis on tuvastatud meie skannimistega. Andmed on jagatud kategooriatesse tarnija, mudeli ja seadme tüübi järgi. Need on tuvastatud erinevate meetoditega, sh veebilehe sisu, SSL-/TLS-sertifikaadid, kuvatavad ribareklaamid jne. Andmestud sisaldavad ainult populatsiooni andmeid, st nähtavate lõppseadmetega seotud turvaaukude kohta ei anta hinnangut (nende leidmiseks valige allikad, nagu http_vulnerable menüüs Üldine statistika).

Visualiseerimisdiagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) tarnijate, mudelite ja seadme tüüpide järgi.

Ründestatistika: Turvaaugud

See andmestu ja sellega seotud visualiseerimised pakuvad igapäevast hetkvõtet rünnetest, mille on leidnud meie meepurgiandurite võrk, esiplaanil on ärakasutamiseks kasutatud turvaaugud. Need hõlmavad võimalust vaadata kõige sagedamini rünnatud tooteid ning uurida, kuidas neid rünnatakse (st millised on ära kasutatud turvaaugud, mis võivad hõlmata kindlat ära kasutatavad CVE-d). Saate vaadata ka rünnete allika ja sihtkohtade põhjal koostatud diagramme.

Visualiseerimisdiagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) rünnete tarnija, turvaaugu ning allika ja sihtkoha järgi.

Lisatud on ka täiendav visualiseerimise kategooria „Jälgimine“:

See on värskendatud igapäevane tabel, kus on levinuimad ära kasutatud turvaaugud, mis on grupeeritud kordumatute lähte-IP-de järgi, kus leiti ründeid (või rünnete katseid, kui valite ühendamise katsete valiku). Andmed pärinevad meie meepurgiandurite võrgust. Andmed on grupeeritud ära kasutatud turvaaukude järgi. See hõlmab ka CSIA teadaolevaid ära kasutatud turvaaukude vastendusi (sh seda, kas tegemist on teadaoleva ärakasutamisega lunavaragrupi poolt) ning seda, kas rünne toimus IoT-seadme, mitte serverirakenduse vastu.

Vaikimisi kuvatakse ekraanil kõige sagedamini ära kasutatud turvaaugud kogu maailmas, kuid andmeid on võimalik filtreerida ka kindla riigi või grupi järgi või kuvada hoopis anomaaliate tabel.

Ründestatistika: Seadmed

See andmestu ja sellega seotud visualiseerimised annavad päevase hetkvõtte ründavate seadmete tüüpidest, nagu seda näeb meie meepurgiandurite võrk. Nende seadmete tunnustuvastamine toimub meie igapäevaste skannimiste abil. Andmestud võimaldavad jälgida kindlaid rünnete tüüpe, seadmete tarnijaid või mudeleid ning neid saab filtreerida riigi järgi.

Diagrammid on sarnased, nagu menüüs Üldine statistika, erinevuseks on see, et allikate ja siltide kasutamise asemel saate kuvada (ja grupeerida) ründe tüübi, seadme tarnija või mudeli järgi.

Lisatud on ka täiendav visualiseerimise kategooria „Jälgimine“:

See on värskendatud igapäevane tabel, kus on levinuimad leitud ründavad seadmed, mis on grupeeritud kordumatute lähte-IP-de järgi, kus leiti ründeid (või rünnete katseid, kui valite ühendamise katsete valiku). Nagu kõigi selles kategoorias kuvatavate andmestute puhul, saadakse need andmed meie meepurgiandurite võrgust. See on grupeeritud leitud ründe tüübi, tarnija ja mudeli järgi (kui need andmed on saadaval). Ründava seadme kindlakstegemiseks korreleerime leitud IP-sid igapäevase seadmete skannimise tunnustuvastamisega (vt jaotist „IoT-seadmete statistika“).

Vaikimisi kuvatakse levinuimaid leitud ründavaid seadmeid (allika järgi) (see hõlmab juhtumeid, mille puhul me ei suuda tuvastada seadet või näiteks selleks, et tuvastada ainult tarnija). Saate filtreerida kindla riigi või grupi järgi või kuvada hoopis anomaaliate tabeli.

Shadowserveri andmelaua arendamist rahastas UK FCDO. IoT-seadme tunnustuvastamise statistikat ja meepurkide ründestatistikat kaasrahastab Euroopa Liidu Euroopa ühendamise rahastu (EL-i projekt CEF VARIoT).

Täname kõiki oma partnereid, kes on panustanud Shadowserveri andmelaual kasutatavate andmete heaks, sh (tähestikujärjekorras) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama Riiklik Ülikool ja kõiki, kes soovivad jääda anonüümseks.

Shadowserver kasutab analüüsiandmete kogumiseks küpsiseid. See võimaldab meil analüüsida, kuidas saiti kasutatakse, ja täiustada kasutuskogemust. Lisateabe saamiseks küpsiste ja selle kohta, kuidas Shadowserver neid kasutab, vaadake meie privaatsuspoliitikat. Meil on vaja teie nõusolekut, et kasutada küpsiseid sellisel viisil teie seadmes.