نمای کلی داشبورد
داشبورد Shadowserver آمارهای سطح بالایی را ارائه میدهد که بازتابدهنده مجموعه دادههای اصلی است که Shadowserver از طریق فعالیتهای روزانه خود جمعآوری کرده و آنها را در بیش از 100 گزارش روزانه به اشتراک میگذارد. این مجموعه دادهها امکان شناسایی سطح حمله، آسیبپذیریها، پیکربندیهای نادرست، موارد غیرایمن شبکهها و همچنین مشاهدات مربوط به حملات را فراهم میکند. دادههای مذکور که در قالب گزارشها به اشتراک گذاشته میشوند، شامل اطلاعات مفصل در سطح IP مربوط به یک شبکه یا حوزه جغرافیایی خاص هستند. داشبورد Shadowserver اجازه نمیدهد این سطح از جزئیات ارائه گردد. بلکه در عوض آمارهای سطح بالایی را ارائه میدهد که بازتابدهنده این فعالیتها است. این کار باعث میشود درکی از تازهترین تهدیدات، آسیبپذیریها و رویدادهای در حال ظهور بهدست آید و ضمن حفظ ناشناس بودن هریک از طرفهای درگیر، آگاهی از موقعیت را برای کل جامعه فراهم میکند.
منابع و برچسبها
ارائه دادهها بر اساس منابع و برچسبها سازماندهی شده است. یک منبع، اساساً عبارت است از گروهبندی دادههای دارای شکل یکسان. منابع اصلی عبارتند از: honeypot
، population
، scan
، sinkhole
. هم جمعیت و هم اسکن مجموعه دادههای مبتنی بر اسکن هستند، و جمعیت تعداد نقاط پایانی قابل مشاهده بدون ارزیابی آسیبپذیری/امنیت است. پسوند 6
نشاندهنده دادههای IPv6 است (همه ورودیهای فاقد پسوند به دادههای IPv4 اشاره دارد).
منابع میتوانند برچسبهای مرتبط با خود را داشته باشند که اطلاعات بیشتری را درخصوص دادههای ارائه شده فراهم میسازد. به عنوان مثال، برچسبهای scan
انواع مختلف اسکن را شامل میشود (یعنی سرویسها/پروتکلهایی که اسکن میشوند مانند telnet
، ftp
و rdp
). برچسبهای sinkhole
نشاندهنده خانوادههای بدافزار واقعی است که به یک سینکهول متصل میشوند (یعنی میزبانهایی که توسط یک نوع خانواده بدافزار آلوده شدهاند مانند adload
، andromeda
و necurs
).
برچسبها جزئیات بیشتری در مورد دادههای ارائه شده فراهم میآورند.
علاوه بر این، گروهبندیهای منبع بیشتری را نیز برای بازتاب دادن بهتر مشاهدات درخصوص میزبانهای آسیبپذیر یا در معرض خطر معرفی میکنیم - برای مثال، http_vulnerable
یا compromised_website
. آنها معمولاً دارای برچسبهایی هستند که آسیبپذیریهای مختص به CVE، فروشندگان یا محصولات آسیبدیده یا اطلاعاتی را درباره دربهای پشتی، پوستههای وب یا ایمپلنتهای مشاهده شده نشان میدهند. یک مثال از http_vulnerable
عبارت است از: citrix
یا cve-2023-3519
.
در پایان ما با اضافه کردن شناساییهای بیشتر به مجموعه دادههای خود در نهایت برچسبهای بیشتری را ایجاد میکنیم. این بدان معناست که ممکن است دستههای منبع تازهای ظاهر شوند که امکان انتخاب آنها وجود دارد. برای مثال، اگرچه snmp
برچسبی است که در منبع scan
وجود دارد، بهعنوان منبعی جداگانه نیز نشان داده میشود. این مسئله به ما امکان میدهد نتایج اسکن snmp مفصلتری را ارائه دهیم که امکان مشاهده نتایج اسکن snmp خاص مرتبط با آسیبپذیری مانند cve-2017-6736
را فراهم میکند.
لینکهای سریع به دستههای دادهها: نوار پیمایش چپ
مجموعه دادههای ارائه شده از طریق روشهای مختلف جمعآوری بزرگمقیاس از جمله سینکهول کردن، اسکن کردن و هانیپاتها جمعآوری میشوند. این دستهبندیهای اصلی مجموعه دادهها در نوار پیمایش چپ به اشتراک گذاشته شدهاند و هر نوع دستهبندی با نماد متفاوتی نشان داده میشود.
هدف از این کار فراهم کردن امکان رفتن سریعتر به سراغ دستههای منبع خاص است. بهعنوان مثال:
-
سینکهول - نمایی کلی از مجموعه دادههای گروهبندی شده بر اساس منبع
sinkhole
را ارائه میدهد. سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، نتیجه سینکهول خاصی را مشاهده کنید. -
اسکنها - نمایی کلی از مجموعه دادههای گروهبندیشده بر اساس منبع
scan
را ارائه میدهد (این دستهبندی شامل نتایج اسکن برای سرویسهایی است که نوعی از مشکلات امنیتی با آنها مرتبط است، شما همچنین میتوانید بجای آن با انتخاب منبعpopulation
، اسکن جمعیت را مشاهده کنید. سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، نتیجه اسکن خاصی را مشاهده کنید. -
هانیپاتها - نمایی کلی از مجموعه دادههای گروهبندی شده بر اساس منبع
honeypot
را ارائه میدهد. سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، نتیجه هانیپات خاصی را مشاهده کنید. -
DDoS - نمایی کلی از مجموعه دادههای گروهبندی شده بر اساس منبع
honeypot_ddos_amp
را ارائه میدهد. آنها حملات DDoS تقویت شده هستند که براساس اهداف منحصربهفرد در یک کشور/منطقه خاص مشاهده میشوند. سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، روش تقویت خاصی را مشاهده کنید. -
ICS - نمایی کلی از مجموعه دادههای گروهبندی شده بر اساس منبع
ics
را ارائه میدهد (که نتایج اسکن پروتکلهای بومی سیستمهای کنترل صنعتی هستند). سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، پروتکلهای بومی مورد استفاده را مشاهده کنید. -
CVEهای وب - نمایی کلی از مجموعه دادههای گروهبندی شده بر اساس
http_vulnerable
وexchange
را ارائه میدهد. آنها برنامههای تحت وب آسیبپذیر هستند که در اسکنهای ما معمولاً بهعنوان CVE شناسایی میشوند. سپس میتوانید با انتخاب یک برچسب یا گروهی از برچسبها، CVEها یا محصولات آلوده را مشاهده کنید.
مجموعه دادهها را میتوان بر اساس کشور یا گروهبندی کشورها، مناطق و قارهها تفکیک کرد.
هر مجموعه داده همچنین در بخش "درباره این داده" شرح داده شده است.
لطفاً توجه داشته باشید که غیر از موارد اشاره شده مجموعه دادههای دیگری نیز در دسترس است. به عنوان مثال، منبع beacon
به شما امکان میدهد C2های فریمورک پس از سوءاستفاده را که در اسکنهایمان میبینیم، بررسی کنید، و منبع compromised_website
به شما امکان میدهد نقاط پایانی وب غیرایمن را که در اسکنهای ما مشاهده میشود بررسی نمایید.
نوار پیمایش بالا
نوار پیمایش بالا گزینههای نمایش مختلف را برای ارائه دادهها و همچنین برای طرز نمایش مجموعه دادههای شناسایی دستگاهها و مشاهده حمله امکانپذیر میسازد.
آمار عمومی
آمار عمومی شامل توانایی طرز نمایش هر منبع و برچسب با انتخاب موارد زیر است:
- نقشه جهان - یک نمایشگر نقشه جهان است که منابع و برچسبهای انتخاب شده را نشان میدهد. قابلیتهای اضافی عبارتند از: امکان تغییر نما برای نشان دادن متداولترین برچسبها به ازای هر کشور به ازای هر منبع، نرمال کردن دادهها براساس جمعیت، تولید ناخالص داخلی، اتصال کاربران و غیره. شما همچنین میتوانید نشانگرهایی را برای نمایش مقادیر مربوط به هر کشور بر روی نقشه انتخاب کنید.
- نقشه منطقه - نمای نقشه در سطح کشور و تقسیم کشورها به مناطق و استانها.
- نقشه مقایسه - نقشه مقایسه دو کشور.
- سریهای زمانی - نموداری که ترکیب منبع و برچسب را در طول زمان نشان میدهد. توجه داشته باشید که گروهبندی دادهها به اشکال مختلف (نه فقط بر اساس کشور) امکانپذیر است.
- طرز نمایش - گزینههای مختلفی را برای بررسی دقیق مجموعه دادهها، از جمله میانگینهای مقادیر در طول زمان، ارائه میدهد. امکان نمایش دادهها در قالب جداول، نمودارهای میلهای، نمودارهای حبابی و غیره را فراهم میسازد.
آمار دستگاههای اینترنت اشیا (آمار شناسایی دستگاهها)
این مجموعه دادهها و طرز نمایشهای مرتبط، تصویری کلی و روزانه از نقاط پایانی قابل مشاهده گروهبندی شده براساس فروشندگان قابل مشاهده و محصولات آنها را ارائه میکنند که از طریق اسکنهای ما شناسایی شدهاند. دادهها بر اساس فروشنده، مدل و نوع دستگاه دستهبندی میشوند. آنها از طریق روشهای مختلف شناسایی میشوند، از جمله: محتوای صفحه وب، گواهیهای SSL/TLS، بنرهای نمایش داده شده و غیره. مجموعه دادهها فقط شامل دادههای جمعیت هستند یعنی هیچگونه ارزیابی از آسیبپذیریهای مرتبط با نقاط پایانی قابل مشاهده صورت نمیگیرد (برای مشاهده موارد مذکور، میتوانید منابعی مانند http_vulnerable
را در بخش "آمار عمومی" انتخاب کنید).
در بخش "آمار عمومی" نمودارهای طرز نمایش مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسبها میتوانید فروشندگان، مدلها و انواع دستگاه را مشاهده (و گروهبندی) کنید.
آمار حملات: آسیبپذیریها
این مجموعه دادهها و طرز نمایشهای مرتبط، نمایی کلی و روزانه از حملاتی که توسط شبکه سنسور هانیپات ما مشاهده میشوند را با تمرکز بر آسیبپذیریهای مورد سوءاستفاده ارائه میدهند. این موارد عبارتند از توانایی مشاهده محصولاتی که اغلب مورد حمله قرار میگیرند و بررسی نحوه حمله به آنها (یعنی با کدام آسیبپذیری مورد سوءاستفاده، که ممکن است شامل CVE خاصی باشد که مورد سوءاستفاده قرار میگیرد). همچنین میتوانید نمودارها را براساس منبع حملات و مقصدها مشاهده کنید.
در بخش "آمار عمومی" نمودارهای طرز نمایش مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسبها میتوانید فروشنده، آسیبپذیری و همچنین منبع و مقصد حملات را مشاهده (و گروهبندی) کنید.
یک دستهبندی طرز نمایش اضافی - یعنی نظارت نیز اضافه شده است:
این دستهبندی، جدول روزانه بهروزرسانی شده رایجترین آسیبپذیریهای مورد سوءاستفاده است که براساس IPهای منبع منحصربهفرد مهاجم مشاهده شده گروهبندی شدهاند (یا اگر گزینه آمار دفعات تلاش برای اتصال را انتخاب کنید، براساس دفعات تلاش برای حمله را نشان میدهد). منبع دادهها، شبکه سنسورهای هانیپات ما است. دادهها بر اساس آسیبپذیریهای مورد سوءاستفاده گروهبندی میشوند. این دادهها همچنین شامل موارد زیر است: نگاشتهای آسیبپذیریهای شناخته شده CISA (از جمله اینکه آیا مشخص است که توسط یک گروه باجافزار مورد سوءاستفاده قرار میگیرند یا خیر) و همچنین اینکه آیا حمله بجای برنامه سرور، علیه دستگاه اینترنت اشیا صورت میگیرد یا خیر.
بهطور پیشفرض، رایجترین آسیبپذیریهای مورد سوءاستفاده در سراسر جهان را نشان میدهد، اما میتوانید بجای آن دادهها را براساس کشور یا گروهبندی خاصی فیلتر کرده یا یک جدول ناهنجاری را نمایش دهید.
آمار حملات: دستگاهها
این مجموعه دادهها و طرز نمایشهای مرتبط نمایی کلی و روزانه را از انواع دستگاههای مهاجم که توسط شبکه سنسور هانیپات ما مشاهده میشود، ارائه میدهند. انگشتنگاری این دستگاهها در طول اسکنهای روزانه ما صورت میگیرد. مجموعه دادهها امکان ردیابی انواع حمله، فروشندگان دستگاه یا مدلهای خاص را فراهم میکنند و میتوانند بر اساس کشور فیلتر شوند.
در بخش "آمار عمومی" چارتهای مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسبها میتوانید نوع حمله، فروشنده دستگاه یا مدل را مشاهده (و گروهبندی) کنید.
یک دستهبندی طرز نمایش اضافی - یعنی نظارت نیز اضافه شده است:
این دستهبندی، جدول روزانه بهروزرسانی شده رایجترین دستگاههای مهاجم است که براساس IPهای منبع منحصربهفرد مهاجم مشاهده شده گروهبندی شدهاند (یا اگر گزینه آمار دفعات تلاش برای اتصال را انتخاب کنید، براساس دفعات تلاش برای حمله را نشان میدهد). منبع این دادهها، همانند تمام مجموعه دادههای نمایش داده شده در این دستهبندی، شبکه سنسورهای هانیپات ما است. این دادهها بر اساس نوع حمله مشاهده شده، فروشنده و مدل (در صورت امکان) گروهبندی میشود. ما دستگاه مهاجم را براساس همبستگی IPهای مشاهده شده با نتایج انگشتنگاری روزانه اسکن دستگاه خود تعیین میکنیم (به بخش "آمار دستگاههای اینترنت اشیا" مراجعه کنید).
بهطور پیشفرض، متداولترین دستگاههای مهاجم را که حمله میکنند (بر اساس منبع) نشان میدهد (و همچنین شامل مواردی است که نمیتوانیم فقط یک دستگاه را شناسایی کرده یا برای مثال، فقط یک فروشنده را شناسایی کنیم). میتوانید انتخاب کنید که دادهها را براساس کشور یا گروهبندی خاصی فیلتر کرده یا درعوض یک جدول ناهنجاری را نمایش دهید.