Dashboard overview
Dasbor Shadowserver menyajikan statistik tingkat tinggi yang mencerminkan dataset utama yang dikumpulkan dan dibagikan oleh Shadowserver melalui aktivitas harian dalam lebih dari 100 laporan harian. Dataset tersebut dapat digunakan untuk mengidentifikasi permukaan serangan yang terpapar, kerentanan, salah konfigurasi, kompromi jaringan serta pengamatan serangan. Data, dibagikan dalam bentuk laporan, berisi informasi tingkat IP yang detail mengenai jaringan atau konstituensi tertentu. Dasbor Shadowserver tidak memungkinkan tingkat granularitas ini. Sebaliknya, statistik tingkat tinggi yang mencerminkan aktivitas ini akan disajikan. Hal ini memberikan wawasan tentang ancaman terbaru yang muncul, kerentanan, insiden yang memberikan pemahaman situasional ke komunitas yang lebih luas sekaligus menjaga anonimitas pihak-pihak yang terlibat.
Sources and tags
Penyajian data diatur seputar sumber dan tag. Pada dasarnya, sumber adalah pengelompokan data dalam bentuk tertentu. Sumber-sumber dasarnya adalah honeypot
, population
, scan
, sinkhole
. Sumber populasi dan pemindaian adalah dataset berbasis pemindaian dengan populasi sebagai jumlah titik eksposur tanpa penilaian kerentanan/keamanan. Akhiran 6
mewakili data IPv6 (semua entri tanpa akhiran merujuk pada data IPv4).
Sumber mungkin memiliki tag yang terkait dengan mereka untuk memberi konteks tambahan pada data yang disajikan. Misalnya, tag untuk scan
akan mencakup berbagai jenis pemindaian yang sebenarnya (misalnya layanan/protokol yang dipindai seperti telnet
, ftp
, dan rdp
). Tag untuk sinkhole
mencerminkan keluarga malware aktual yang terhubung ke sinkhole (misalnya host yang terinfeksi oleh jenis keluarga malware seperti adload
, andromeda
, dan necurs
).
Tag memberikan wawasan tambahan tentang data yang disajikan.
Selain itu, kami juga memperkenalkan pengelompokan sumber tambahan untuk lebih mencerminkan observasi pada host yang rentan atau terkompromi - misalnya, http_vulnerable
atau compromised_website
. Sumber ini biasanya akan berisi tag yang mencerminkan kerentanan CVE spesifik, vendor atau produk yang terpengaruh, atau informasi tentang backdoor, webshell, atau implant yang terlihat. Misalnya untuk http_vulnerable
akan ada citrix
atau cve-2023-3519
.
Akhirnya, ketika kami menambahkan lebih banyak deteksi ke dataset kami, semakin banyak tag yang didapatkan. Artinya, mungkin muncul kategori sumber baru yang dapat dipilih. Misalnya, meskipun snmp
adalah tag yang ada pada sumber scan
, ia juga ditampilkan sebagai sumber. Dengan demikian, kami dapat menyajikan hasil pemindaian SNMP yang lebih terperinci guna melihat hasil pemindaian SNMP spesifik yang terkait dengan kerentanan seperti cve-2017-6736
.
Tautan cepat ke kategori data: Bilah navigasi kiri
Dataset yang disajikan dikumpulkan melalui berbagai metode pengumpulan skala besar termasuk sinkhole, pemindaian, dan honeypot. Kategori utama dataset ini dibagikan di bilah navigasi kiri, dengan setiap jenis kategori disimbolkan oleh ikon yang berbeda.
Tujuannya adalah untuk memungkinkan penyelaman cepat ke dalam kategori sumber tertentu. Misalnya:
-
Sinkholes - menyediakan gambaran dataset yang dikelompokkan berdasarkan sumber
sinkhole
. Anda dapat melihat hasil sinkhole tertentu dengan memilih satu atau beberapa tag. -
Pemindaian - memberikan gambaran dataset yang dikelompokkan berdasarkan sumber
scan
(kategori ini berisi hasil pemindaian untuk layanan yang memiliki masalah keamanan tertentu yang terkait dengan mereka, Anda juga dapat melihat hasil pemindaian populasi dengan memilih sumberpopulation
sebagai gantinya). Anda dapat melihat hasil pemindaian tertentu dengan memilih satu atau beberapa tag. -
Honeypot - menyediakan gambaran dataset yang dikelompokkan berdasarkan sumber
honeypot
. Anda dapat melihat hasil honeypot tertentu dengan memilih satu atau beberapa tag. -
DDoS - memberikan gambaran dataset yang dikelompokkan berdasarkan sumber
honeypot_ddos_amp
. Ini adalah serangan DDoS amplifikasi yang terlihat oleh target khusus di negara/wilayah tertentu. Anda dapat melihat metode amplifikasi tertentu yang digunakan dengan memilih satu atau beberapa tag. -
ICS - memberikan gambaran dataset yang dikelompokkan berdasarkan sumber
ics
(yang merupakan hasil pemindaian dari protokol sistem kontrol industri asli). Anda dapat melihat protokol asli yang digunakan dengan memilih satu atau beberapa tag. -
Web CVEs - memberikan gambaran dataset yang dikelompokkan berdasarkan
http_vulnerable
danexchange
. Ini adalah aplikasi web rentan yang diidentifikasi dalam pemindaian kami, biasanya oleh CVE. Anda dapat melihat CVE atau produk yang terkena dengan memilih satu atau beberapa tag.
Dataset dapat diuraikan berdasarkan negara atau pengelompokan negara, wilayah, dan benua.
Setiap dataset juga dijelaskan dalam “Tentang data ini”.
Harap dicatat, ada lebih banyak dataset yang tersedia selain yang disorot. Misalnya, sumber beacon
dapat Anda gunakan untuk mengeksplorasi C2 framework pasca-eksploitasi yang kita lihat dalam pemindaian, dan sumber compromised_website
dapat digunakan untuk mengeksplorasi titik akhir web yang terkompromi yang terlihat dalam pemindaian.
Bilah navigasi atas
Bilah navigasi atas memungkinkan berbagai pilihan visualisasi penyajian data, serta untuk visualisasi identifikasi perangkat dan dataset pengamatan serangan.
Statistik umum
Statistik umum mencakup kemampuan untuk memvisualisasikan setiap sumber dan tag dengan memilih:
- Peta dunia - tampilan peta dunia yang menunjukkan sumber dan tag yang dipilih. Fitur tambahan termasuk: kemampuan untuk beralih tampilan untuk menunjukkan tag paling umum per negara per sumber, normalisasi berdasarkan populasi, PDB, pengguna terhubung, dll. Anda juga dapat memilih penanda di peta untuk menampilkan nilai per negara.
- Peta wilayah - tampilan peta tingkat negara dengan berbagai negara dibagi menjadi wilayah dan provinsi.
- Peta perbandingan - peta perbandingan dari dua negara.
- Time series - grafik yang menunjukkan kombinasi sumber dan tag dari waktu ke waktu. Grafik ini dapat digunakan untuk berbagai bentuk pengelompokan data (bukan hanya berdasarkan negara).
- Visualisasi - menawarkan berbagai opsi penyelaman dataset, termasuk rata-rata nilai dari waktu ke waktu. Ini dapat digunakan untuk menampilkan data dalam bentuk tabel, diagram batang, diagram gelembung, dan lainnya.
Statistik perangkat IoT (statistik identifikasi perangkat)
Dataset ini dan visualisasi terkait menyediakan gambaran harian tentang titik akhir yang terpapar yang dikelompokkan berdasarkan vendor dan produk mereka yang teridentifikasi melalui pemindaian kami. Data dikategorikan berdasarkan vendor, model, dan jenis perangkat. Identifikasinya melalui berbagai cara, termasuk konten halaman web, sertifikat SSL/TLS, banner yang ditampilkan, dll. Dataset ini hanya berisi data populasi yaitu tidak ada penilaian yang dibuat tentang kerentanan apa pun yang terkait dengan titik akhir yang terpapar (untuk menemukannya, pilih sumber seperti misalnya http_vulnerable
di bawah “Statistik Umum” sebagai gantinya).
Grafik visualisasi serupa seperti dalam “Statistik Umum” ada, bedanya tanpa menggunakan sumber dan tag Anda dapat melihat (dan mengelompokkan berdasarkan) vendor, model, dan jenis perangkat sebagai gantinya.
Attack statistics: Vulnerabilities
Dataset ini dan visualisasi terkait menyediakan gambaran harian tentang serangan yang terlihat oleh jaringan sensor honeypot kami, dengan fokus pada kerentanan yang digunakan untuk eksploitasi. Termasuk kemampuan untuk melihat produk yang paling sering diserang dan untuk mengeksplorasi bagaimana mereka diserang (misalnya memanfaatkan kerentanan yang dieksploitasi, yang mungkin mencakup CVE tertentu yang dieksploitasi). Anda juga dapat melihat grafik berdasarkan sumber serangan dan tujuan.
Grafik visualisasi serupa seperti dalam “Statistik Umum” ada, bedanya tanpa menggunakan sumber dan tag Anda dapat melihat (dan mengelompokkan berdasarkan) vendor, kerentanan serta sumber dan tujuan sebagai gantinya.
Kategori visualisasi tambahan - Pemantauan, juga telah ditambahkan:
Ini adalah tabel harian yang diperbarui tentang kerentanan yang paling sering dieksploitasi yang dikelompokkan berdasarkan alamat IP sumber khusus yang diamati menyerang (atau upaya serangan yang terlihat, jika Anda memilih opsi statistik upaya koneksi). Data bersumber dari jaringan sensor honeypot kami. Data dikelompokkan berdasarkan kerentanan yang dieksploitasi. Termasuk pemetaan Kerentanan yang Diketahui Dieksploitasi CISA (termasuk apakah diketahui dieksploitasi oleh kelompok ransomware) serta apakah serangan tersebut terhadap perangkat IoT daripada aplikasi server.
Secara default, tampilan menunjukkan kerentanan yang paling umum dieksploitasi untuk seluruh dunia, tapi Anda juga dapat menyaring berdasarkan negara atau pengelompokan tertentu atau menampilkan tabel anomali sebagai gantinya.
Attack statistics: Devices
Dataset ini dan visualisasi terkait menyediakan gambaran harian tentang jenis perangkat yang menyerang yang terlihat oleh jaringan sensor honeypot. Identifikasi perangkat-perangkat ini dilakukan melalui pemindaian harian. Dataset membuat kita dapat melacak jenis serangan tertentu, vendor atau model perangkat dan dapat disaring berdasarkan negara.
Grafik-grafik serupa seperti dalam “Statistik Umum” ada, bedanya tanpa menggunakan sumber dan tag Anda dapat melihat (dan mengelompokkan berdasarkan) serangan jenis, vendor perangkat, atau model perangkat sebagai gantinya.
Kategori visualisasi tambahan - pemantauan, juga telah ditambahkan:
Ini adalah tabel harian yang diperbarui tentang perangkat-perangkat menyerang yang paling umum terlihat oleh alamat IP sumber unik yang diamati menyerang (atau upaya serangan yang terlihat, jika Anda memilih opsi statistik upaya koneksi). Seperti pada semua dataset yang ditampilkan dalam kategori ini, data bersumber dari jaringan sensor honeypot kami. Data ini dikelompokkan berdasarkan jenis serangan yang terlihat, vendor, dan model perangkat (jika ada). Kami menentukan perangkat penyerang dengan mengorelasikan IP yang terlihat dengan hasil identifikasi pemindaian perangkat harian kami (lihat bagian “Statistik Perangkat IoT”).
Secara default, tampilan menunjukkan perangkat penyerang yang paling umum (berdasarkan sumber) yang terlihat menyerang (termasuk kasus di mana kami tidak dapat mengidentifikasi perangkat atau misalnya, hanya mengidentifikasi vendor). Anda dapat memilih untuk menyaring berdasarkan negara atau pengelompokan tertentu atau menampilkan tabel anomali sebagai gantinya.