עזרה

עזרה כללית

סקירת לוח מחוונים

בלוח המחוונים של Shadowserver מוצגים נתונים סטטיסטיים ברמה גבוהה, שמשקפים את ערכות הנתונים העיקריות שנאספות ומשותפות על ידי Shadowserver בפעילותה היומית, בלמעלה מ-100 דוחות יומיים.ערכות הנתונים מאפשרות זיהוי של שטחי התקיפה שחשופים, פגיעויות, תצורות שגויות, פגיעה ברשתות וכן תצפיות על מתקפות.הנתונים, שמשותפים במתכונת של דוחות, מכילים מידע מפורט ברמת כתובת ה-IP, בנוגע לרשת מסוימת או למרחב מסוים.לוח המחוונים של Shadowserver לא מאפשר רמה כזאת של פירוט. במקום זאת, הוא מציג סטטיסטיקה ברמה גבוהה, שמשקפת את אותן פעילויות.כך אפשר לקבל תובנות לגבי איומים חדשים עדכניים, פגיעויות ותקריות, כדי לספק לקהילה רחבה יותר מוּדעוּת למצב, ובמקביל לשמור את הגורמים המעורבים בעילום שם.

מקורות ותגיות

הצגת הנתונים מאורגנת לפי מקורות ותגיות.מקור הוא למעשה קיבוץ של נתונים במתכונת כזו או אחרת.המקורות הבסיסיים הם honeypot (מלכודת דבש), population (אוכלוסייה), scan (סריקה) ו-sinkhole (בולען).גם האוכלוסייה וגם הסריקה הן ערכות נתונים שמבוססות על סריקות, כשהאוכלוסייה היא ספירה של נקודות קצה של חשיפה, בלי הערכה של פגיעויות/אבטחה.סיומת 6 מייצגת נתונים של IPv6 (כל הרשומות בלי הסיומת מתייחסות לנתונים של IPv4).

המקורות יכולים לקבל תגיות שנותנות הקשר נוסף לנתונים המוצגים.למשל, תגיות של scan יכללו את סוגי הסריקה השונים בפועל (כלומר, שירותים/פרוטוקולים נסרקים, כמו telnet‏, ftp ו-rdp).תגיות של sinkhole יבטאו את המשפחות בפועל של תוכנות זדוניות שמתחברות לבולען (כלומר מארחים שנבדקו בתוכנה זדונית ממשפחה מסוג כמו adload‏, andromeda ו-necurs).

תגיות נותנות תובנות נוספות על הנתונים שמוצגים.

בנוסף, אנחנו מוסיפים עוד קיבוצי מקורות כדי לבטא טוב יותר תצפיות על מארחים פגיעים או פגועים - לדוגמה, http_vulnerable או compromised_website.הם בדרך כלל יכילו תגיות שמבטאות פגיעויות CVE ספציפיות, ספקים או מוצרים מושפעים או מידע על דלתות אחוריות, מעטפות אינטרנט (webshell) או השתלות (implant) שנצפו.דוגמה ל-http_vulnerable:‏ citrix או cve-2023-3519.

לסיום, ככל שאנחנו מוסיפים זיהויים נוספים לערכות הנתונים שלנו, אנחנו מגיעים ליותר תגיות. כלומר, הקטגוריות החדשות של מקורות עשויות להופיע כדי לבחור מתוכן.למשל, למרות שהתגית snmp קיימת במקור scan, היא גם מופיעה כמקור.כך אפשר להציג תוצאות מפורטות יותר של סריקות snmp, שמאפשרות להציג תוצאות פרטיות של סריקות snmp שקשורות לפגיעות כמו cve-2017-6736.

קישורים מהירים לקטגוריות נתונים: סרגל הניווט השמאלי

ערכות הנתונים שמוצגות נאספות במגוון שיטות לאיסוף בקנה-מידה גדול, ביניהן יצירת בולענים, סריקות ומלכודות דבש.הקטגוריות הראשיות של ערכות הנתונים משותפות בסרגל הניווט השמאלי, וכל סוג של קטגוריה מיוצג בסמל אחר.

המטרה היא לאפשר התעמקות מהירה יותר בקטגוריות מסוימות של מקור. למשל:

  • Sinkholes (בולענים) - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי המקור sinkhole.לאחר מכן, אפשר להציג תוצאה מסוימת של בולענים על ידי בחירה של תגית או קבוצת תגיות מסוימת.
  • Scans (סריקות) - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי המקור scan (קטגוריה זו מכילה תוצאות סריקה של שירותים שאליהם משויכת בעיית אבטחה כזו או אחרת, ואפשר גם להציג תוצאות של סריקות אוכלוסייה על ידי בחירה במקור population במקום זאת).לאחר מכן, אפשר להציג תוצאת סריקה מסוימת, על ידי בחירה בתגית או בקבוצת תגיות מסוימת.
  • Honeypots (מלכודות דבש) - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי המקור honeypot.לאחר מכן, אפשר להציג תוצאה מסוימת של מלכודות דבש על ידי בחירה של תגית או קבוצת תגיות מסוימת.
  • DDoS - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי המקור honeypot_ddos_amp.יש מתקפות DDoS עם הגברה, שנצפות על ידי מטרות ייחודיות במדינה או באזור מסוימים.לאחר מכן, אפשר להציג שיטת הגברה מסוימת שבה נעשה שימוש, על ידי בחירה של תגית או קבוצת תגיות מסוימת.
  • ICS (מערכות בקרה תעשייתיות) - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי המקור ics (שהן תוצאות סריקה של פרוטוקולים מקוריים של מערכות בקרה תעשייתיות).לאחר מכן, אפשר להציג את הפרוטוקולים המקוריים שבהם נעשה שימוש, על ידי בחירה של תגית או קבוצת תגיות מסוימת.
  • Web CVEs - נותנת סקירה כללית של ערכות נתונים שמקובצות לפי http_vulnerable ו-exchange.אלו יישומי אינטרנט פגיעים, שבדרך כלל מזוהים בסריקות שלנו לפי CVE.אפשר להציג מערכות CVE או מוצרים מושפעים, על ידי בחירה של תגית או קבוצת תגיות מסוימת.
  • מכשירים פרוצים - מספק סקירה כללית של ערכות נתונים מקובצות לפי מקור compromised_website, compromised_website6 ו-compromised_iot. אלו מכשירים פרוצים שזוהו בסריקות שלנו, אך גם באמצעות שיטות אחרות. באפשרותך להציג פרטים נוספים כגון סוג ה-webshell על ידי בחירה בתגית או קבוצה של תגיות.
  • מסגרות אחרי ניצול לרעה/C2‏ - מספק סקירה כללית של ערכות נתונים מקובצות לפי מקור beacon. אלו הם מארחים שזיהינו כמפעילים של סוגים שונים של כלי מסגרות אחרי ניצול לרעה, שמשמשים פעמים רבות מתקיפים או שמריצים מסגרת בקרה ושליטה של תוכנות זדוניות. באפשרותך להציג את השם של המסגרת או התוכנה הזדונית המעורבת על ידי בחירה בתגית או קבוצה של תגיות.

אפשר לקבל פירוט של ערכות הנתונים לפי מדינה או קיבוצי מדינות, אזורים ויבשות.

בנוסף, כל ערכת נתונים מתוארת תחת "אודות נתונים אלה".

שים לב שקיימות יותר ערכות נתונים זמינות מאשר אלו שסומנו בהדגשה. לדוגמה, המקור ip_tunnel יאפשר לחקור מארחים שמקבלים חבילות מנהור ללא אימות, והמקור loop_dos יאפשר לך לחקור מארחים שחשופים בפני התקפות Loop DoS.

סרגל ניווט עליון

סרגל הניווט העליון נותן מגוון אפשרויות להצגה חזותית של נתונים, כמו גם תצוגה חזותית של ערכות נתונים של תצפיות מתקפה וזיהוי מכשירים.

סטטיסטיקה כללית

הסטטיסטיקה הכללית כוללת את היכולת להציג באופן חזותי כל מקור ותגית על ידי בחירה באפשרות:

  • World map - מפת עולם שמציגה את המקורות והתגיות שנבחרו.בין התכונות הנוספות: היכולת לעבור לתצוגה שתראה את התגית הכי נפוצה לפי מדינה לכל מקור, נרמול לפי אוכלוסייה, תמ"ג, משתמשים מחוברים ועוד.אפשר גם לבחור סמנים על המפה כדי להציג ערכים לפי מדינה.
  • Region map (מפה אזורית) - מפה ברמת מדינה, שבה המדינות מחולקות לאזורים ולמחוזות.
  • Comparison map (מפת השוואה) - מפה להשוואה בין שתי מדינות.
  • Time series (סדרה עיתית) - תרשים שמציג שילובים של מקורות ותגיות לאורך זמן.חשוב לציין שכך אפשר לקבל קיבוצי נתונים בצורות שונות (לא רק לפי מדינה).
  • Visualization (תצוגה חזותית) - נותנת מגוון אפשרויות לפירוט של ערכות הנתונים, ביניהן ממוצעים של ערכים לאורך זמן.מאפשרת להציג נתונים בצורת טבלאות, תרשימי עמודות, דיאגרמות בועה ועוד.

סטטיסטיקה של מכשירי IoT (סטטיסטיקה של זיהוי מכשירים)

ערכת נתונים זו והתצוגות החזותיות ששייכות לה נותנות תמונה יומית של נקודות הקצה החשופות, בקיבוץ לפי הספקים החשופים ומוצריהם שזוהו בסריקות שלנו.הנתונים מחולקים לפי ספק, דגם וסוג המכשיר.הם מזוהים במגוון אמצעים, בכלל זה תוכן דפי אינטרנט, אישורי SSL/TLS, באנרים מוצגים ועוד.ערכות הנתונים מכילות נתוני אוכלוסייה בלבד, כלומר: לא מבוצעת הערכה של פגיעויות כלשהן שמשויכות לנקודות הקצה החשופות (כדי למצוא אותן, יש לבחור מקורות, למשל http_vulnerable, תחת "סטטיסטיקה כללית" במקום זאת).

יש תרשימים דומים של תצוגה חזותית כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) ספקים, דגמים וסוגי מכשירים במקום זאת.

סטטיסטיקת מתקפות: פגיעוּיות

ערכת נתונים זו והתצוגות החזותיות המשויכות לה נותנות תמונת מצב יומית של המתקפות שקולטת רשת חיישני מלכודת הדבש שלנו, עם דגש על פגיעויות שמעורבות בניצול לרעה.בכלל זה היכולת להציג את המוצרים שמותקפים בתדירות הכי גבוהה וללמוד איך הם מותקפים (כלומר, באמצעות איזו פגיעות מנוצלת, בין השאר ניצול של CVE מסוימת).אפשר גם להציג תרשימים לפי מקור המתקפות ויעדיהן.

יש תרשימים דומים של תצוגה חזותית כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) ספק, פגיעות וכן המקור והיעד של המתקפות.

נוספה עוד קטגוריה של תצוגה חזותית - 'ניטור':

מדובר בטבלה שמתעדכנת מדי יום, ובה הפגיעויות המנוצלות הכי נפוצות, בקיבוץ לפי כתובות IP ייחודיות של מקורות שנצפו במתקפה (או בניסיונות המתקפה שנצפו, אם בוחרים באפשרות הסטטיסטיקה של ניסיונות התחברות).הנתונים מגיעים מרשת חיישני מלכודת הדבש שלנו. הנתונים מקובצים לפי פגיעויות שנוצלו לרעה.הטבלה כוללת גם מיפויים של הפגיעויות המנוצלות לרעה הידועות לפי CISA (בין השאר, האם ידוע שקבוצת תוכנות כופר מנצלת לרעה את אותה פגיעות), וגם מציינת אם המתקפה היא נגד מכשיר IoT, ולא נגד יישום שרת.

כברירת מחדל, התצוגה מראה את הפגיעויות המנוצלות הכי שכיחות לעולם כולו, אבל אפשר גם לסנן לפי מדינה מסוימת או קיבוץ של מדינות או להציג במקום זאת טבלת אנומליות.

סטטיסטיקת מתקפות: מכשירים

ערכת נתונים זו והתצוגות החזותיות המשויכות לה נותנות תמונת מצב יומית של סוגי המכשירים התוקפים שנקלטים ברשת חיישני מלכודת הדבש שלנו.טביעות האצבע של מכשירים אלה מושגות בסריקות היומיות שלנו.ערכות הנתונים מאפשרות לעקוב אחר סוגי מתקפה, ספקי מכשירים או דגמים מסוימים, ואפשר לסנן לפי מדינה.

יש תרשימים דומים כמו ב"סטטיסטיקה כללית", וההבדל הוא שבמקום להשתמש במקורות ובתגיות, אפשר להציג (ולקבץ לפי) סוג מתקפה, ספק או דגם מכשיר.

נוספה עוד קטגוריה של תצוגה חזותית - ניטור:

מדובר בטבלה שמתעדכנת מדי יום, ובה המכשירים התוקפים הכי נפוצים שנצפו, לפי כתובות IP ייחודיות של מקורות שנצפו במתקפה (או בניסיונות המתקפה שנצפו, אם בוחרים באפשרות הסטטיסטיקה של ניסיונות חיבור).כמו עם כל ערכות הנתונים שמוצגות בקטגוריה זו, היא מגיעה מרשת חיישני מלכודת הדבש שלנו.היא מקובצת לפי סוג המתקפה שנצפתה, הספק והדגם (אם זמינים).אנחנו קובעים מהו המכשיר התוקף לפי הצלבה של כתובות IP שמופיעות עם התוצאות של טביעות האצבע שנאספו מסריקות המכשירים היומיות שלנו (מידע בסעיף "סטטיסטיקה של מכשירי IoT").

כברירת מחדל, התצוגה מראה את המכשירים התוקפים הנפוצים ביותר (לפי מקור) שנצפו משתתפים במתקפה (בכלל זה מקרים שבהם אנחנו לא מצליחים לזהות מכשיר או, לדוגמה, מצליחים לזהות רק ספק).אפשר לבחור לסנן לפי מדינה מסוימת או קיבוץ של מדינות או להציג במקום זאת טבלת אנומליות.

פיתוח לוח המחוונים של Shadowserver מומן על ידי משרד החוץ וחבר העמים (FCDO) של בריטניה.סטטיסטיקת טביעות אצבע של מכשירי IoT וסטטיסטיקת מתקפות מלכודת דבש מומנו במשותף על ידי Connecting Europe Facility של האיחוד האירופי (פרויקט EU CEF VARIoT).

אנחנו מבקשים להודות לכל השותפים שלנו, שתרמו בנדיבות לנתונים שנעשה בהם שימוש בלוח המחוונים של Shadowserver, בין השאר (לפי סדר ה-ABC‏): APNIC Community Feeds,‏ Bitsight,‏ CISPA,‏ if-is.net,‏ Kryptos Logic,‏ SecurityScorecard,‏ Yokohama National University וכל שאר התורמים שבחרו להישאר בעילום שם.

Shadowserver משתמש בקובצי Cookie כדי לאסוף ניתוח נתונים.כך אנחנו יכולים למדוד את אופן השימוש באתר ולשפר את החוויה למען המשתמשים שלנו.מידע נוסף על קובצי Cookie ועל האופן שבו Shadowserver משתמשת בהם אפשר למצוא במדיניות הפרטיות שלנו.אנחנו זקוקים להסכמתך כדי להשתמש כך בקובצי Cookie במכשיר שלך.