راهنما

راهنمایی عمومی

نمای کلی داشبورد

داشبورد Shadowserver آمارهای سطح بالایی را ارائه می‌دهد که بازتاب‌دهنده مجموعه داده‌های اصلی است که Shadowserver از طریق فعالیت‌های روزانه خود جمع‌آوری کرده و آنها را در بیش از 100 گزارش روزانه به اشتراک می‌گذارد. این مجموعه داده‌ها امکان شناسایی سطح حمله، آسیب‌پذیری‌ها، پیکربندی‌های نادرست، موارد غیرایمن شبکه‌ها و همچنین مشاهدات مربوط به حملات را فراهم می‌کند. داده‌های مذکور که در قالب گزارش‌ها به اشتراک گذاشته می‌شوند، شامل اطلاعات مفصل در سطح IP مربوط به یک شبکه یا حوزه جغرافیایی خاص هستند. داشبورد Shadowserver اجازه نمی‌دهد این سطح از جزئیات ارائه گردد. بلکه در عوض آمارهای سطح بالایی را ارائه می‌دهد که بازتاب‌دهنده این فعالیت‌ها است. این کار باعث می‌شود درکی از تازه‌ترین تهدیدات، آسیب‌پذیری‌ها و رویدادهای در حال ظهور به‌دست آید و ضمن حفظ ناشناس بودن هریک از طرف‌های درگیر، آگاهی از موقعیت را برای کل جامعه فراهم می‌کند.

منابع و برچسب‌ها

ارائه داده‌ها بر اساس منابع و برچسب‌ها سازماندهی شده است. یک منبع، اساساً عبارت است از گروه‌بندی داده‌های دارای شکل یکسان. منابع اصلی عبارتند از: honeypot، population، scan، sinkhole. هم جمعیت و هم اسکن مجموعه داده‌های مبتنی بر اسکن هستند، و جمعیت تعداد نقاط پایانی قابل مشاهده بدون ارزیابی آسیب‌پذیری/امنیت است. پسوند 6 نشان‌دهنده داده‌های IPv6 است (همه ورودی‌های فاقد پسوند به داده‌های IPv4 اشاره دارد).

منابع می‌توانند برچسب‌های مرتبط با خود را داشته باشند که اطلاعات بیشتری را درخصوص داده‌های ارائه شده فراهم می‌سازد. به عنوان مثال، برچسب‌های scan انواع مختلف اسکن را شامل می‌شود (یعنی سرویس‌ها/پروتکل‌هایی که اسکن می‌شوند مانند telnet، ftp و rdp). برچسب‌های sinkhole نشان‌دهنده خانواده‌های بدافزار واقعی است که به یک سینک‌هول متصل می‌شوند (یعنی میزبان‌هایی که توسط یک نوع خانواده بدافزار آلوده شده‌اند مانند adload، andromeda و necurs).

برچسب‌ها جزئیات بیشتری در مورد داده‌های ارائه شده فراهم می‌آورند.

علاوه بر این، گروه‌بندی‌های منبع بیشتری را نیز برای بازتاب دادن بهتر مشاهدات درخصوص میزبان‌های آسیب‌پذیر یا در معرض خطر معرفی می‌کنیم - برای مثال، http_vulnerable یا compromised_website. آنها معمولاً دارای برچسب‌هایی هستند که آسیب‌پذیری‌های مختص به CVE، فروشندگان یا محصولات آسیب‌دیده یا اطلاعاتی را درباره درب‌های پشتی، پوسته‌های وب یا ایمپلنت‌های مشاهده شده نشان می‌دهند. یک مثال از http_vulnerable عبارت است از: citrix یا cve-2023-3519.

در پایان ما با اضافه کردن شناسایی‌های بیشتر به مجموعه داده‌های خود در نهایت برچسب‌های بیشتری را ایجاد می‌کنیم. این بدان معناست که ممکن است دسته‌های منبع تازه‌ای ظاهر شوند که امکان انتخاب آنها وجود دارد. برای مثال، اگرچه snmp برچسبی است که در منبع scan وجود دارد، به‌عنوان منبعی جداگانه نیز نشان داده می‌شود. این مسئله به ما امکان می‌دهد نتایج اسکن snmp مفصل‌تری را ارائه دهیم که امکان مشاهده نتایج اسکن snmp خاص مرتبط با آسیب‌پذیری مانند cve-2017-6736 را فراهم می‌کند.

لینک‌های سریع به دسته‌های داده‌ها: نوار پیمایش چپ

مجموعه داده‌های ارائه شده از طریق روش‌های مختلف جمع‌آوری بزرگ‌مقیاس از جمله سینک‌هول کردن، اسکن کردن و هانی‌پات‌ها جمع‌آوری می‌شوند. این دسته‌بندی‌های اصلی مجموعه داده‌ها در نوار پیمایش چپ به اشتراک گذاشته شده‌اند و هر نوع دسته‌بندی با نماد متفاوتی نشان داده می‌شود.

هدف از این کار فراهم کردن امکان رفتن سریع‌تر به سراغ دسته‌های منبع خاص است. به‌عنوان مثال:

  • سینک‌هول - نمایی کلی از مجموعه داده‌های گروه‌بندی شده بر اساس منبع sinkhole را ارائه می‌دهد. سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، نتیجه سینک‌هول خاصی را مشاهده کنید.
  • اسکن‌ها - نمایی کلی از مجموعه داده‌های گروه‌بندی‌شده بر اساس منبع scan را ارائه می‌دهد (این دسته‌بندی شامل نتایج اسکن برای سرویس‌هایی است که نوعی از مشکلات امنیتی با آنها مرتبط است، شما همچنین می‌توانید بجای آن با انتخاب منبع population، اسکن جمعیت را مشاهده کنید. سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، نتیجه اسکن خاصی را مشاهده کنید.
  • هانی‌پات‌ها - نمایی کلی از مجموعه داده‌های گروه‌بندی شده بر اساس منبع honeypot را ارائه می‌دهد. سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، نتیجه هانی‌پات خاصی را مشاهده کنید.
  • DDoS - نمایی کلی از مجموعه داده‌های گروه‌بندی شده بر اساس منبع honeypot_ddos_amp را ارائه می‌دهد. آنها حملات DDoS تقویت شده هستند که براساس اهداف منحصربه‌فرد در یک کشور/منطقه خاص مشاهده می‌شوند. سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، روش تقویت خاصی را مشاهده کنید.
  • ICS - نمایی کلی از مجموعه داده‌های گروه‌بندی شده بر اساس منبع ics را ارائه می‌دهد (که نتایج اسکن پروتکل‌های بومی سیستم‌های کنترل صنعتی هستند). سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، پروتکل‌های بومی مورد استفاده را مشاهده کنید.
  • CVEهای وب - نمایی کلی از مجموعه داده‌های گروه‌بندی شده بر اساس http_vulnerable و exchange را ارائه می‌دهد. آنها برنامه‌های تحت وب آسیب‌پذیر هستند که در اسکن‌های ما معمولاً به‌عنوان CVE شناسایی می‌شوند. سپس می‌توانید با انتخاب یک برچسب یا گروهی از برچسب‌ها، CVE‌ها یا محصولات آلوده را مشاهده کنید.

مجموعه داده‌ها را می‌توان بر اساس کشور یا گروه‌بندی کشورها، مناطق و قاره‌ها تفکیک کرد.

هر مجموعه داده همچنین در بخش "درباره این داده" شرح داده شده است.

لطفاً توجه داشته باشید که غیر از موارد اشاره شده مجموعه داده‌های دیگری نیز در دسترس است. به عنوان مثال، منبع beacon به شما امکان می‌دهد C2های فریمورک پس از سوءاستفاده را که در اسکن‌هایمان می‌بینیم، بررسی کنید، و منبع compromised_website به شما امکان می‌دهد نقاط پایانی وب غیرایمن را که در اسکن‌های ما مشاهده می‌شود بررسی نمایید.

نوار پیمایش بالا

نوار پیمایش بالا گزینه‌های نمایش مختلف را برای ارائه داده‌ها و همچنین برای طرز نمایش مجموعه داده‌های شناسایی دستگاه‌ها و مشاهده حمله ا‌مکان‌پذیر می‌سازد.

آمار عمومی

آمار عمومی شامل توانایی طرز نمایش هر منبع و برچسب با انتخاب موارد زیر است:

  • نقشه جهان - یک نمایشگر نقشه جهان است که منابع و برچسب‌های انتخاب شده را نشان می‌دهد. قابلیت‌های اضافی عبارتند از: امکان تغییر نما برای نشان دادن متداول‌ترین برچسب‌ها به ازای هر کشور به ازای هر منبع، نرمال کردن داده‌ها براساس جمعیت، تولید ناخالص داخلی، اتصال کاربران و غیره. شما همچنین می‌توانید نشانگرهایی را برای نمایش مقادیر مربوط به هر کشور بر روی نقشه انتخاب کنید.
  • نقشه منطقه - نمای نقشه در سطح کشور و تقسیم کشورها به مناطق و استان‌ها.
  • نقشه مقایسه - نقشه مقایسه دو کشور.
  • سری‌های زمانی - نموداری که ترکیب منبع و برچسب را در طول زمان نشان می‌دهد. توجه داشته باشید که گروه‌بندی داده‌ها به اشکال مختلف (نه فقط بر اساس کشور) امکان‌پذیر است.
  • طرز نمایش - گزینه‌های مختلفی را برای بررسی دقیق مجموعه داده‌ها، از جمله میانگین‌های مقادیر در طول زمان، ارائه می‌دهد. امکان نمایش داده‌ها در قالب جداول، نمودارهای میله‌ای، نمودارهای حبابی و غیره را فراهم می‌سازد.

آمار دستگاه‌های اینترنت اشیا (آمار شناسایی دستگاه‌ها)

این مجموعه داده‌ها و طرز نمایش‌های مرتبط، تصویری کلی و روزانه از نقاط پایانی قابل مشاهده گروه‌بندی شده براساس فروشندگان قابل مشاهده و محصولات آنها را ارائه می‌کنند که از طریق اسکن‌های ما شناسایی شده‌اند. داده‌ها بر اساس فروشنده، مدل و نوع دستگاه دسته‌بندی می‌شوند. آنها از طریق روش‌های مختلف شناسایی می‌شوند، از جمله: محتوای صفحه وب، گواهی‌های SSL/TLS، بنرهای نمایش داده شده و غیره. مجموعه داده‌ها فقط شامل داده‌های جمعیت هستند یعنی هیچ‌گونه ارزیابی از آسیب‌پذیری‌های مرتبط با نقاط پایانی قابل مشاهده صورت نمی‌گیرد (برای مشاهده موارد مذکور، می‌توانید منابعی مانند http_vulnerable را در بخش "آمار عمومی" انتخاب کنید).

در بخش "آمار عمومی" نمودارهای طرز نمایش مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسب‌ها می‌توانید فروشندگان، مدل‌ها و انواع دستگاه را مشاهده (و گروه‌بندی) کنید.

آمار حملات: آسیب‌پذیری‌ها

این مجموعه داده‌ها و طرز نمایش‌های مرتبط، نمایی کلی و روزانه از حملاتی که توسط شبکه سنسور هانی‌پات ما مشاهده می‌شوند را با تمرکز بر آسیب‌پذیری‌های مورد سوءاستفاده ارائه می‌دهند. این موارد عبارتند از توانایی مشاهده محصولاتی که اغلب مورد حمله قرار می‌گیرند و بررسی نحوه حمله به آنها (یعنی با کدام آسیب‌پذیری مورد سوءاستفاده، که ممکن است شامل CVE خاصی باشد که مورد سوءاستفاده قرار می‌گیرد). همچنین می‌توانید نمودارها را براساس منبع حملات و مقصدها مشاهده کنید.

در بخش "آمار عمومی" نمودارهای طرز نمایش مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسب‌ها می‌توانید فروشنده، آسیب‌پذیری و همچنین منبع و مقصد حملات را مشاهده (و گروه‌بندی) کنید.

یک دسته‌بندی طرز نمایش اضافی - یعنی نظارت نیز اضافه شده است:

این دسته‌بندی، جدول روزانه به‌روزرسانی شده رایج‌ترین آسیب‌پذیری‌های مورد سوءاستفاده است که براساس IPهای منبع منحصربه‌فرد مهاجم مشاهده شده گروه‌بندی شده‌اند (یا اگر گزینه آمار دفعات تلاش برای اتصال را انتخاب کنید، براساس دفعات تلاش برای حمله را نشان می‌دهد). منبع داده‌ها، شبکه سنسورهای هانی‌پات ما است. داده‌ها بر اساس آسیب‌پذیری‌های مورد سوءاستفاده گروه‌بندی می‌شوند. این داده‌ها همچنین شامل موارد زیر است: نگاشت‌های آسیب‌پذیری‌های شناخته شده CISA (از جمله اینکه آیا مشخص است که توسط یک گروه باج‌افزار مورد سوءاستفاده قرار می‌گیرند یا خیر) و همچنین اینکه آیا حمله بجای برنامه سرور، علیه دستگاه اینترنت اشیا صورت می‌گیرد یا خیر.

به‌طور پیش‌فرض، رایج‌ترین آسیب‌پذیری‌های مورد سوءاستفاده در سراسر جهان را نشان می‌دهد، اما می‌توانید بجای آن داده‌ها را براساس کشور یا گروه‌بندی خاصی فیلتر کرده یا یک جدول ناهنجاری را نمایش دهید.

آمار حملات: دستگاه‌ها

این مجموعه داده‌ها و طرز نمایش‌های مرتبط نمایی کلی و روزانه را از انواع دستگاه‌های مهاجم که توسط شبکه سنسور هانی‌پات ما مشاهده می‌شود، ارائه می‌دهند. انگشت‌نگاری این دستگاه‌ها در طول اسکن‌های روزانه ما صورت می‌گیرد. مجموعه داده‌ها امکان ردیابی انواع حمله، فروشندگان دستگاه یا مدل‌های خاص را فراهم می‌کنند و می‌توانند بر اساس کشور فیلتر شوند.

در بخش "آمار عمومی" چارت‌های مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و برچسب‌ها می‌توانید نوع حمله، فروشنده دستگاه یا مدل را مشاهده (و گروه‌بندی) کنید.

یک دسته‌بندی طرز نمایش اضافی - یعنی نظارت نیز اضافه شده است:

این دسته‌بندی، جدول روزانه به‌روزرسانی شده رایج‌ترین دستگاه‌های مهاجم است که براساس IPهای منبع منحصربه‌فرد مهاجم مشاهده شده گروه‌بندی شده‌اند (یا اگر گزینه آمار دفعات تلاش برای اتصال را انتخاب کنید، براساس دفعات تلاش برای حمله را نشان می‌دهد). منبع این داده‌ها، همانند تمام مجموعه داده‌های نمایش داده شده در این دسته‌بندی، شبکه سنسورهای هانی‌پات ما است. این داده‌ها بر اساس نوع حمله مشاهده شده، فروشنده و مدل (در صورت امکان) گروه‌بندی می‌شود. ما دستگاه مهاجم را براساس همبستگی IP‌های مشاهده شده با نتایج انگشت‌نگاری روزانه اسکن دستگاه خود تعیین می‌کنیم (به بخش "آمار دستگاه‌های اینترنت اشیا" مراجعه کنید).

به‌طور پیش‌فرض، متداول‌ترین دستگاه‌های مهاجم را که حمله می‌کنند (بر اساس منبع) نشان می‌دهد (و همچنین شامل مواردی است که نمی‌توانیم فقط یک دستگاه را شناسایی کرده یا برای مثال، فقط یک فروشنده را شناسایی کنیم). می‌توانید انتخاب کنید که داده‌ها را براساس کشور یا گروه‌بندی خاصی فیلتر کرده یا درعوض یک جدول ناهنجاری را نمایش دهید.

بودجه توسعه داشبورد Shadowserver توسط UK FCDO تأمین شد. بودجه آمار انگشت‌نگاری دستگاه اینترنت اشیا و آمار حملات هانی‌پات مشترکاً توسط مرکز اتصال اروپا وابسته به اتحادیه اروپا (پروژه EU CEF VARIoT) تأمین شد.

مایلیم از تمام شرکای خود تشکر کنیم که لطف کرده و داده‌های مورد استفاده در داشبورد Shadowserver را ارائه دادند از جمله (بر اساس حروف الفبا) APNIC Community Feeds، CISPA، if-is.net، Kryptos Logic، SecurityScorecard، دانشگاه ملی یوکوهاما و همه کسانی که ترجیح دادند از آنها نامی برده نشود.

Shadowserver از کوکی‌ها برای جمع‌آوری و تحلیل داده‌ها استفاده می‌کند. این مسئله به ما امکان می‌دهد نحوه استفاده از سایت را بسنجیم و تجربه کاربران خود را بهبود ببخشیم. برای کسب اطلاعات بیشتر درباره کوکی‌ها و نحوه استفاده Shadowserver از آنها، به سیاست حفظ حریم خصوصی ما مراجعه کنید. ما برای استفاده از کوکی‌ها به این شکل در دستگاهتان به رضایت شما نیاز داریم.