עזרה

עזרה כללית

סקירת לוח מחוונים

בלוח המחוונים של Shadowserver מוצגים נתונים סטטיסטיים ברמה גבוהה, שמשקפים את ערכות הנתונים העיקריות שנאספות ומשותפות על ידי Shadowserver בפעילותה היומית, בלמעלה מ-100 דוחות יומיים.ערכות הנתונים מאפשרות זיהוי של שטחי התקיפה שחשופים, פגיעויות, תצורות שגויות, פגיעה ברשתות וכן תצפיות על מתקפות.הנתונים, שמשותפים במתכונת של דוחות, מכילים מידע מפורט ברמת כתובת ה-IP, בנוגע לרשת מסוימת או למרחב מסוים.לוח המחוונים של Shadowserver לא מאפשר רמה כזאת של פירוט. במקום זאת, הוא מציג סטטיסטיקה ברמה גבוהה, שמשקפת את אותן פעילויות.כך אפשר לקבל תובנות לגבי איומים חדשים עדכניים, פגיעויות ותקריות, כדי לספק לקהילה רחבה יותר מוּדעוּת למצב, ובמקביל לשמור את הגורמים המעורבים בעילום שם.

מקורות ותגיות

Data presentation is organized around sources and tags. A source is essentially a data grouping of some form. The basic sources are honeypot, population, scan, sinkhole. Both population and scan are scan-based datasets with population being an exposure endpoint count without a vulnerability/security assessment. A 6 suffix represents IPv6 data (all entries without the suffix refer to IPv4 data).

Sources can have tags associated with them that provide additional context for the data being presented. For example, tags for scan will include the actual different scan types (ie. services/protocols being scanned like telnet, ftp and rdp). Tags for sinkhole would reflect the actual malware families connecting to a sinkhole (ie. hosts infected by a malware family type like adload, andromeda and necurs).

תגיות נותנות תובנות נוספות על הנתונים שמוצגים.

Additionally we also introduce additional source groupings to better reflect observations on vulnerable or compromised hosts - for example, http_vulnerable or compromised_website. These will typically contain tags that reflect specific CVE vulnerabilities, vendors or products affected or information about backdoors, webshells or implants seen. An example for http_vulnerable would be citrix or cve-2023-3519.

Finally as we add more detections to our datasets we end up with more tags. This means that new source categories may appear to choose from. For example, even though snmp is a tag present on source scan, it is also featured as a source. This allows us to present more granular snmp scan results that allow for viewing of specific snmp scan results associated with a vulnerability like cve-2017-6736.

קישורים מהירים לקטגוריות נתונים: סרגל הניווט השמאלי

ערכות הנתונים שמוצגות נאספות במגוון שיטות לאיסוף בקנה-מידה גדול, ביניהן יצירת בולענים, סריקות ומלכודות דבש.הקטגוריות הראשיות של ערכות הנתונים משותפות בסרגל הניווט השמאלי, וכל סוג של קטגוריה מיוצג בסמל אחר.

המטרה היא לאפשר התעמקות מהירה יותר בקטגוריות מסוימות של מקור. למשל:

  • Sinkholes - provides an overview of datasets grouped by source sinkhole. You can then view a particular sinkhole result by selecting a tag or group of tags.
  • Scans - provides an overview of datasets grouped by source scan (this category contains scan results for services that have some kind of security issue associated with them, you can also view population scan results by selecting source population instead). You can then view a particular scan result by selecting a tag or group of tags.
  • Honeypots - provides an overview of datasets grouped by source honeypot. You can then view a particular honeypot result by selecting a tag or group of tags.
  • DDoS - provides an overview of datasets grouped by source honeypot_ddos_amp. These are amplification DDoS attacks seen by unique targets in a particular country/region. You can then view a particular amplification method used by selecting a tag or group of tags.
  • ICS - provides an overview of datasets grouped by source ics (which are scan results of native Industrial Control Systems protocols). You can then view the native protocols used by selecting a tag or group of tags.
  • Web CVEs - provides an overview of datasets grouped by http_vulnerable and exchange. These are vulnerable web applications identified in our scans typically by CVE. You can view the CVEs or affected products by selecting a tag or group of tags.

אפשר לקבל פירוט של ערכות הנתונים לפי מדינה או קיבוצי מדינות, אזורים ויבשות.

בנוסף, כל ערכת נתונים מתוארת תחת "אודות נתונים אלה".

Please note there are more datasets available other than the ones highlighted. For example, source beacon will allow you to explore post-exploitation framework C2s we see in our scans, and source compromised_website will allow you to explore compromised web endpoints seen in our scans.

סרגל ניווט עליון

סרגל הניווט העליון נותן מגוון אפשרויות להצגה חזותית של נתונים, כמו גם תצוגה חזותית של ערכות נתונים של תצפיות מתקפה וזיהוי מכשירים.

סטטיסטיקה כללית

הסטטיסטיקה הכללית כוללת את היכולת להציג באופן חזותי כל מקור ותגית על ידי בחירה באפשרות:

  • World map - מפת עולם שמציגה את המקורות והתגיות שנבחרו.בין התכונות הנוספות: היכולת לעבור לתצוגה שתראה את התגית הכי נפוצה לפי מדינה לכל מקור, נרמול לפי אוכלוסייה, תמ"ג, משתמשים מחוברים ועוד.אפשר גם לבחור סמנים על המפה כדי להציג ערכים לפי מדינה.
  • Region map (מפה אזורית) - מפה ברמת מדינה, שבה המדינות מחולקות לאזורים ולמחוזות.
  • Comparison map (מפת השוואה) - מפה להשוואה בין שתי מדינות.
  • Time series (סדרה עיתית) - תרשים שמציג שילובים של מקורות ותגיות לאורך זמן.חשוב לציין שכך אפשר לקבל קיבוצי נתונים בצורות שונות (לא רק לפי מדינה).
  • Visualization (תצוגה חזותית) - נותנת מגוון אפשרויות לפירוט של ערכות הנתונים, ביניהן ממוצעים של ערכים לאורך זמן.מאפשרת להציג נתונים בצורת טבלאות, תרשימי עמודות, דיאגרמות בועה ועוד.

סטטיסטיקה של מכשירי IoT (סטטיסטיקה של זיהוי מכשירים)

This dataset and associated visualizations provide a daily snapshot of exposed endpoints grouped by exposed vendors and their products identified through our scans. Data is categorized by vendor, model and device type. These are identified through various means, including web page content, SSL/TLS certificates, banners displayed etc. The datasets contain population data only ie. no assessment is made of any vulnerabilities associated with the exposed endpoints (to find those, select sources such as for example http_vulnerable under “General statistics” instead).

יש תרשימים דומים של תצוגה חזותית כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) ספקים, דגמים וסוגי מכשירים במקום זאת.

סטטיסטיקת מתקפות: פגיעוּיות

ערכת נתונים זו והתצוגות החזותיות המשויכות לה נותנות תמונת מצב יומית של המתקפות שקולטת רשת חיישני מלכודת הדבש שלנו, עם דגש על פגיעויות שמעורבות בניצול לרעה.בכלל זה היכולת להציג את המוצרים שמותקפים בתדירות הכי גבוהה וללמוד איך הם מותקפים (כלומר, באמצעות איזו פגיעות מנוצלת, בין השאר ניצול של CVE מסוימת).אפשר גם להציג תרשימים לפי מקור המתקפות ויעדיהן.

יש תרשימים דומים של תצוגה חזותית כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) ספק, פגיעות וכן המקור והיעד של המתקפות.

נוספה עוד קטגוריה של תצוגה חזותית - 'ניטור':

מדובר בטבלה שמתעדכנת מדי יום, ובה הפגיעויות המנוצלות הכי נפוצות, בקיבוץ לפי כתובות IP ייחודיות של מקורות שנצפו במתקפה (או בניסיונות המתקפה שנצפו, אם בוחרים באפשרות הסטטיסטיקה של ניסיונות התחברות).הנתונים מגיעים מרשת חיישני מלכודת הדבש שלנו. הנתונים מקובצים לפי פגיעויות שנוצלו לרעה.הטבלה כוללת גם מיפויים של הפגיעויות המנוצלות לרעה הידועות לפי CISA (בין השאר, האם ידוע שקבוצת תוכנות כופר מנצלת לרעה את אותה פגיעות), וגם מציינת אם המתקפה היא נגד מכשיר IoT, ולא נגד יישום שרת.

כברירת מחדל, התצוגה מראה את הפגיעויות המנוצלות הכי שכיחות לעולם כולו, אבל אפשר גם לסנן לפי מדינה מסוימת או קיבוץ של מדינות או להציג במקום זאת טבלת אנומליות.

סטטיסטיקת מתקפות: מכשירים

ערכת נתונים זו והתצוגות החזותיות המשויכות לה נותנות תמונת מצב יומית של סוגי המכשירים התוקפים שנקלטים ברשת חיישני מלכודת הדבש שלנו.טביעות האצבע של מכשירים אלה מושגות בסריקות היומיות שלנו.ערכות הנתונים מאפשרות לעקוב אחר סוגי מתקפה, ספקי מכשירים או דגמים מסוימים, ואפשר לסנן לפי מדינה.

יש תרשימים דומים כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) סוג מתקפה, ספק או דגם מכשיר.

נוספה עוד קטגוריה של תצוגה חזותית - ניטור:

מדובר בטבלה שמתעדכנת מדי יום, ובה המכשירים התוקפים הכי נפוצים שנצפו, לפי כתובות IP ייחודיות של מקורות שנצפו במתקפה (או בניסיונות המתקפה שנצפו, אם בוחרים באפשרות הסטטיסטיקה של ניסיונות חיבור).כמו עם כל ערכות הנתונים שמוצגות בקטגוריה זו, היא מגיעה מרשת חיישני מלכודת הדבש שלנו.היא מקובצת לפי סוג המתקפה שנצפתה, הספק והדגם (אם זמינים).אנחנו קובעים מהו המכשיר התוקף לפי הצלבה של כתובות IP שמופיעות עם התוצאות של טביעות האצבע שנאספו מסריקות המכשירים היומיות שלנו (מידע בסעיף "סטטיסטיקה של מכשירי IoT").

כברירת מחדל, התצוגה מראה את המכשירים התוקפים הנפוצים ביותר (לפי מקור) שנצפו משתתפים במתקפה (בכלל זה מקרים שבהם אנחנו לא מצליחים לזהות מכשיר או, לדוגמה, מצליחים לזהות רק ספק).אפשר לבחור לסנן לפי מדינה מסוימת או קיבוץ של מדינות או להציג במקום זאת טבלת אנומליות.

פיתוח לוח המחוונים של Shadowserver מומן על ידי משרד החוץ וחבר העמים (FCDO) של בריטניה.סטטיסטיקת טביעות אצבע של מכשירי IoT וסטטיסטיקת מתקפות מלכודת דבש מומנו במשותף על ידי Connecting Europe Facility של האיחוד האירופי (פרויקט EU CEF VARIoT).

We would like to thank all our partners that kindly contribute towards data used in the Shadowserver Dashboard, including (alphabetically) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University and all those who chose to remain anonymous.

Shadowserver משתמש בקובצי Cookie כדי לאסוף ניתוח נתונים.כך אנחנו יכולים למדוד את אופן השימוש באתר ולשפר את החוויה למען המשתמשים שלנו.מידע נוסף על קובצי Cookie ועל האופן שבו Shadowserver משתמשת בהם אפשר למצוא במדיניות הפרטיות שלנו.אנחנו זקוקים להסכמתך כדי להשתמש כך בקובצי Cookie במכשיר שלך.