Aperçu du tableau
Le tableau de bord Shadowserver présente des statistiques de haut niveau qui reflètent les ensembles de données principaux que Shadowserver collecte et partage dans le cadre de ses activités quotidiennes dans plus de 100 rapports quotidiens. Les ensembles de données permettent l’identification de la surface d’attaque exposée, des vulnérabilités, des mauvaises configurations, des compromis des réseaux ainsi que des observations d’attaques. Les données, partagées sous la forme de rapports, contiennent les informations de niveau IP détaillées concernant un réseau ou groupe particulier. Le tableau de bord Shadowserver ne permet pas ce niveau de détail. Au lieu de cela, il présente les statistiques de haut niveau qui reflètent ces activités. Ceci permet d’obtenir des informations concernant les dernières menaces émergentes, les vulnérabilités, les incidents fournissant une conscience situationnelle à la communauté en général tout en préservant l’anonymat de toute partie impliquée.
Sources et balises
La présentation de données est organisée autour de sources et de balises. Une source est essentiellement un groupement de données d’une certaine forme. Les sources de base sont honeypot
, population
, scan
, sinkhole
. La population et le scan sont des ensembles de données basées sur le balayage, la population étant un compte de points de terminaison d’exposition sans évaluation de vulnérabilité/sécurité. Un suffixe 6
représente les données IPv6 data (toutes les entrées sans le suffixe se rapportent aux données IPv4).
Des balises peuvent être associées aux sources et celles-ci fournissent un contexte supplémentaire pour les données présentées. Par exemple, les balises pour le scan
vont inclure les différents types de balayages réels (c.-à-d. services/protocoles étant scannés comme telnet
, ftp
et rdp
). Les balises pour le sinkhole
refléteraient les familles de malware réelles se connectant à un sinkhole (c.-à-d. les hôtes infectés par un type de famille de malware comme adload
, andromeda
et necurs
).
Les balises fournissent des informations supplémentaires sur les données présentées.
De plus, nous introduisons également des groupements de sources supplémentaires pour mieux refléter les observations sur les hôtes vulnérables ou compromis - par exemple, http_vulnerable
ou compromised_website
. Ceux-ci vont généralement contenir des balises qui reflètent des vulnérabilités CVE spécifiques, des fournisseurs ou produits affectés ou des informations à propos de backdoors, webshells ou implants observés. Un exemple pour http_vulnerable
serait citrix
ou cve-2023-3519
.
Pour finir, comme nous ajoutons plus de détections à nos ensembles de données, nous nous retrouvons avec plus de balises. Ceci signifie que de nouvelles catégories de sources peuvent apparaître, à partir desquelles choisir. Par exemple, même si snmp
est une balise présente sur la source scan
, elle est également présentée comme une source. Ceci nous permet de présenter plus de résultats de balayage snmp détaillés permettant de visualiser des résultats de balayage snmp spécifiques associés à une vulnérabilité comme cve-2017-6736
.
Liens rapides vers les catégories de données : barre de navigation gauche
Les ensembles de données présentés sont collectés via diverses méthodes de collection à grande échelle y compris le sinkholing, le balayage et les honeypots. Ces catégories principales d’ensembles de données sont partagées sur la barre de navigation gauche, avec chaque type de catégorie symbolisé par une icône différente.
L’objectif est d’activer plus rapidement des plongées dans des catégories de source particulières. Par exemple :
-
Sinkholes - fournit un aperçu des ensembles de données groupés par
sinkhole
de source. Vous pouvez ensuite visualiser un résultat de sinkhole particulier en sélectionnant une balise ou un groupe de balises. -
Scans - fournit un aperçu des ensembles de données groupés par
scan
de source (cette catégorie contient les résultats de balayage des services qui présentent une sorte de problème de sécurité, vous pouvez également visualiser les résultats du balayage de population en sélectionnant lapopulation
de source à la place). Vous pouvez ensuite visualiser un résultat de balayage particulier en sélectionnant une balise ou un groupe de balises. -
Honeypots - fournit un aperçu des ensembles de données groupés par
honeypot
de source. Vous pouvez ensuite visualiser un résultat de honeypot particulier en sélectionnant une balise ou un groupe de balises. -
DDoS - fournit un aperçu des ensembles de données groupés par
honeypot_ddos_amp
de source. Il s’agit d’attaques DDoS par amplification observées par des cibles uniques dans un pays particulier ou une région particulière. Vous pouvez ensuite visualiser une méthode d’amplification particulière utilisée en sélectionnant une balise ou un groupe de balises. -
ICS - fournit un aperçu des ensembles de données groupés par
ics
de source (qui sont des résultats de balayage de protocoles de systèmes de contrôle industriels natifs). Vous pouvez ensuite visualiser les protocoles natifs utilisés en sélectionnant une balise ou un groupe de balises. -
Web CVEs -fournit un aperçu des ensembles de données groupés par
http_vulnerable
etexchange
. Il s’agit d’applications Web vulnérables identifiées dans nos balayages généralement par CVE. Vous pouvez ensuite visualiser les CVE ou les produits affectés en sélectionnant une balise ou un groupe de balises.
Les ensembles de données peuvent être répartis par pays ou groupements de pays, régions et continents.
Chaque ensemble de données est également décrit dans « À propos de ces données ».
Veuillez noter qu’il y a davantage d’ensembles de données disponibles, autres que ceux mis en évidence. Par exemple, beacon
de source va vous permettre d’explorer les C2 de structure de post-exploitation que nous observons dans nos balayages, et compromised_website
de source va vous permettre d’explorer les points de terminaison Web compromis observés dans nos balayages.
Barre de navigation supérieure
La barre de navigation supérieure permet diverses options de visualisation pour la présentation des données, ainsi que la visualisation d’ensembles de données d’identification d’appareils et d’observation d’attaques.
Statistiques générales
Les statistiques générales incluent la capacité de visualiser toute source et balise en sélectionnant :
- World map - un affichage de carte du monde montrant les sources et balises sélectionnées. PIBarmi les fonctions supplémentaires : possibilité de changer d’affichage pour montrer la balise la plus courante par pays par source, la normalisation par population, le PIB, les utilisateurs de connexion, etc. Vous pouvez également sélectionner des marqueurs sur la carte pour afficher les valeurs par pays.
- Region map - un affichage de carte au niveau du pays avec les pays divisés en régions et provinces.
- Comparison map - une carte de comparaison de deux pays.
- Time series - un graphique montrant des combinaisons de sources et balises au fil du temps. À noter que ceci permet différentes formes de groupements de données (pas simplement par pays).
- Visualization - offre diverses options d’exploration dans les ensembles de données, notamment des moyennes de valeurs au fil du temps. Ceci permet d’afficher des données sous la forme de tableaux, de graphiques à barres, de diagramme en bulles et plus encore.
Statistiques d’appareils IdO (statistiques d’identification d’appareils)
Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien de points de terminaison exposés groupés fournisseurs exposés et leurs produits identifiés à travers nos balayages. Les données sont classées par fournisseur, modèle et type d’appareil. Elles sont identifiées par différents moyens, notamment contenu de page Web, certificats SSL/TLS, bannières affichées, etc. Les ensembles de données contiennent des données de population uniquement, c.-à-d. il n’est procédé à aucune évaluation de toute vulnérabilité associée aux points de terminaison exposés (pour trouver ceux-ci, sélectionnez les sources telles que http_vulnerable
sous la rubrique « Statistiques générales » à la place).
Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises, vous pouvez visualiser (et grouper par) les fournisseurs, modèles et types d’appareils à la place.
Statistiques d’attaque : vulnérabilités
Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien des attaques observées par notre réseau de capteurs honeypot, avec un accent sur les vulnérabilités utilisées pour l’exploitation. Cela englobe également la capacité de visualiser des produits qui sont plus fréquemment attaqués et d’étudier la manière dont ils sont attaqués (c.-à-d. par quelle vulnérabilité exploitée, ce qui peut inclure une CVE particulière exploitée).
Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises vous pouvez visualiser (et grouper par) le fournisseur, la vulnérabilité ainsi que la source et la destination des attaques.
Une catégorie de visualisation supplémentaire - surveillance, a été également ajoutée :
Il s’agit d’un tableau quotidiennement mis à jour des vulnérabilités exploitées les plus courantes groupées par IP de source unique observées attaquant (ou tentatives d’attaques observées, si vous sélectionnez l’option statistiques de tentatives de connexion). Les données proviennent de notre réseau de capteurs honeypot. Les données sont groupées par vulnérabilités exploitées. Ceci inclut également des mappages de vulnérabilités exploitées connues CISA (notamment si elle est connue comme étant exploitée par un groupe de ransomware) et si l’attaque est dirigée contre un appareil IdO plutôt qu’une application de serveur.
Par défaut, l’affichage montre les vulnérabilités exploitées les plus courantes dans le monde entier, mais vous pouvez filtrer par pays ou groupement particulier, ou afficher un tableau d’anomalies à la place.
Statistiques d’attaque : appareils
Cet ensemble de données et les visualisations associées fournissent un aperçu quotidien des types d’appareils malveillants observés par notre réseau de capteurs honeypot. Le fingerprinting de ces appareils est effectué grâce à nos balayages quotidiens. Les ensembles de données permettent le suivi de types d’attaques particuliers, de fournisseurs ou de modèles d’appareils et peuvent être filtrés par pays.
Des graphiques de visualisation similaires comme dans la section « Statistiques générales » existent, la différence étant qu’au lieu d’utiliser des sources et balises, vous pouvez visualiser (et grouper par) le type d’attaque, le fournisseur d’appareil ou le modèle.
Une catégorie de visualisation supplémentaire - surveillance, a été également ajoutée :
Il s’agit d’un tableau quotidiennement mis à jour des appareils malveillants les plus courants observés par IP de source unique observées attaquant (ou tentatives d’attaques observées, si vous sélectionnez l’option statistiques de tentatives de connexion). Comme dans tous les ensembles de données de cette catégorie, les données proviennent de notre réseau de capteurs honeypot. Les données sont groupées par type d’attaque observée, fournisseur et modèle (le cas échéant). Nous déterminons l’appareil malveillant en corrélant les IP observées avec les résultats de notre fingerprinting de balayage d’appareils quotidien (voir la section « Statistiques d’appareils IdO »).
Par défaut, l’affichage montre les appareils malveillants les plus courants (par source) observés attaquant (ceci inclut les cas où nous ne pouvons pas identifier un appareil par exemple, seulement identifier un fournisseur). Vous pouvez choisir de filtrer par pays ou groupement particulier, ou afficher un tableau d’anomalies à la place.