Panoramica della dashboard
La dashboard di Shadowserver presenta statistiche di alto livello che rispecchiano i sei di dati principali che Shadowserver raccoglie e condivide nelle sue attività quotidiane in oltre 100 report giornalieri. I set di dati permettono di identificare la superficie di attacco esposta, le vulnerabilità, le configurazioni errate, le compromissioni delle reti e le osservazioni degli attacchi. I dati, condivisi in forma di report, contengono informazioni dettagliate a livello di IP relative a una particolare rete o circoscrizione. La dashboard di Shadowserver non consente questo livello di precisione. Presenta invece statistiche di alto livello che rispecchiano queste attività. Ciò permette di conoscere le ultime minacce emergenti, le vulnerabilità e gli incidenti, fornendo una consapevolezza della situazione a una comunità più ampia e preservando l'anonimato delle parti coinvolte.
Sorgenti e tag
La presentazione dei dati è organizzata in base a sorgenti e tag. Una sorgente è essenzialmente un raggruppamento di dati di qualche forma. Le sorgenti di base sono honeypot
, population
, scan
, sinkhole
. Sia la popolazione che la scansione sono insiemi di dati basati sulla scansione, mentre la popolazione è un conteggio di endpoint esposti senza una valutazione di vulnerabilità/sicurezza. Un suffisso 6
rappresenta dati IPv6 (tutte le voci senza suffisso si riferiscono a dati IPv4).
Alle sorgenti possono essere associati dei tag che forniscono un contesto aggiuntivo ai dati presentati. Per esempio, tag per scan
comprendono i diversi tipi di scansione (cioè i servizi/protocolli che vengono analizzati, come ad esempio telnet
, ftp
e rdp
). I tag per sinkhole
rispecchiano le effettive famiglie di malware collegate a un sinkhole (ossia, host infettati da un tipo di famiglia di malware come adload
, andromeda
e necurs
).
I tag forniscono informazioni aggiuntive sui dati presentati.
Inoltre, introduciamo ulteriori raggruppamenti di sorgenti per riflettere meglio le osservazioni sugli host vulnerabili o compromessi, ad esempio, http_vulnerable
o compromised_website
. Questi contengono in genere tag che riflettono specifiche vulnerabilità CVE, fornitori o prodotti interessati o informazioni su backdoor, webshell o impianti rilevati. Un esempio di http_vulnerable
è citrix
o cve-2023-3519
.
Infine, man mano che aggiungiamo altri rilevamenti ai nostri set di dati, ci ritroviamo con un maggior numero di tag. Ciò significa che possono comparire nuove categorie di sorgenti tra cui scegliere. Ad esempio, anche se snmp
è un tag presente nella sorgente scan
, è presente anche come sorgente. Questo ci permette di presentare risultati di scansione snmp più dettagliati che consentono di visualizzare risultati di scansione snmp specifici associati a una vulnerabilità come cve-2017-6736
.
Collegamenti rapidi alle categorie di dati: Barra di navigazione sinistra
I set di dati presentati sono stati raccolti attraverso vari metodi di raccolta su larga scala, tra cui sinkholing, scanning e honeypots. Queste categorie principali di set di dati sono condivise nella barra di navigazione di sinistra, dove ciascun tipo di categoria è simboleggiata da un'icona diversa.
L'obiettivo è quello di consentire immersioni più rapide in particolari categorie di sorgenti. Ad esempio:
-
Sinkholes: fornisce una panoramica di set di dati raggruppati per sorgente
sinkhole
. È quindi possibile visualizzare i risultati di un particolare sinkhole selezionando un tag o un gruppo di tag. -
Scans: fornisce una panoramica di set di dati raggruppati per sorgente
scan
(questa categoria contiene i risultati delle scansioni per i servizi a cui è associato un qualche tipo di problema di sicurezza; è anche possibile visualizzare i risultati delle scansioni della popolazione selezionando invece l'originepopulation
.). È quindi possibile visualizzare i risultati di un particolare scan selezionando un tag o un gruppo di tag. -
Honeypots: fornisce una panoramica di set di dati raggruppati per sorgente
honeypot
. È quindi possibile visualizzare i risultati di un particolare honeypot selezionando un tag o un gruppo di tag. -
DDoS: fornisce una panoramica di set di dati raggruppati per sorgente
honeypot_ddos_amp
. Si tratta di attacchi DDoS di amplificazione visti da obiettivi unici in un determinato Paese/regione. È quindi possibile visualizzare un particolare metodo di amplificazione utilizzato selezionando un tag o un gruppo di tag. -
ICS: fornisce una panoramica di set di dati raggruppati per sorgente
ics
(che sono risultati di scansione dei protocolli nativi dei sistemi di controllo industriale). È quindi possibile visualizzare i protocolli nativi utilizzati selezionando un tag o un gruppo di tag. -
CVE web: fornisce una panoramica di set di dati raggruppati per
http_vulnerable
eexchange
. Si tratta di applicazioni Web vulnerabili identificate nelle nostre scansioni, in genere per CVE. È possibile visualizzare i CVE o i prodotti interessati selezionando un tag o un gruppo di tag.
I set di dati possono essere suddivisi per paese o raggruppamenti di paese, regioni e continenti.
La descrizione di ogni set di dati è presente anche in "Informazioni sui dati".
Si prega di notare che sono disponibili più set di dati rispetto a quelli evidenziati. Ad esempio, la sorgente beacon
permetterà di esplorare i framework C2 post-exploitation che vediamo nelle nostre scansioni, mentre la sorgente compromised_website
vi permetterà di esplorare gli endpoint web compromessi visti nelle nostre scansioni.
Barra di navigazione superiore
La barra di navigazione superiore consente varie opzioni di visualizzazione per la presentazione dei dati, nonché per la visualizzazione dell'identificazione dei dispositivi e dei set di dati di osservazione degli attacchi.
Statistiche generali
Le statistiche generali comprendono la possibilità di visualizzare qualsiasi sorgente e tag selezionando:
- Mappa del mondo: una mappa del mondo che mostra sorgenti e tag selezionati. Tra le caratteristiche aggiuntive vi è: la possibilità di cambiare la visualizzazione per mostrare il tag più comune per paese e per sorgente, la normalizzazione per popolazione, PIL, utenti connessi, ecc. È inoltre possibile selezionare i marcatori sulla mappa per visualizzare i valori per paese.
- Mappa della regione: una visualizzazione della mappa a livello di paese, con i paesi suddivisi in regioni e province.
- Mappa di confronto: una mappa di confronto tra due paesi.
- Serie temporali: un grafico che mostra combinazioni di sorgente e tag nel tempo. Si prega di notare che sono possibili diverse forme di raggruppamenti di dati (non solo per paese).
- Visualizzazione: offre varie opzioni di approfondimento dei set di dati, comprese le medie dei valori nel tempo. Consente di visualizzare i dati sotto forma di tabelle, grafici a barre, diagrammi a bolle e altro ancora.
Statistiche dei dispositivi IoT (statistiche di identificazione dei dispositivi)
Questi set di dati e le visualizzazioni associate forniscono una panoramica quotidiana di endpoint esposti raggruppati per fornitori esposti e i rispettivi prodotti identificati dalle nostre scansioni. I dati sono classificati per fornitore, modello e tipo di dispositivo. Questi sono identificati attraverso vari mezzi, tra cui il contenuto delle pagine web, i certificati SSL/TLS, i banner visualizzati, ecc. I set di dati contengono solo dati sulla popolazione, ovvero non vengono valutate le vulnerabilità associate agli endpoint esposti (per trovarle, selezionare fonti come ad esempio http_vulnerable
sotto "Statistiche generali").
Esistono grafici di visualizzazione simili a quelli di "Statistiche generali", con la differenza che invece di utilizzare sorgenti e tag è possibile visualizzare (e raggruppare per) fornitori, modelli e tipi di dispositivi.
Statistiche di attacco: vulnerabilità
Questo set di dati e le relative visualizzazioni forniscono un'istantanea giornaliera degli attacchi rilevati dalla nostra rete di sensori honeypot, con particolare attenzione alle vulnerabilità utilizzate per lo sfruttamento. Queste includono la possibilità di visualizzare i prodotti che vengono attaccati più di frequente e di esplorare il modo in cui vengono attaccati (ad esempio, in base alla vulnerabilità sfruttata, che può includere un particolare CVE sfruttato). È inoltre possibile visualizzare i grafici in base alla fonte degli attacchi e alle destinazioni.
Esistono grafici di visualizzazione simili a quelli di "Statistiche generali", con la differenza che invece di utilizzare sorgenti e tag è possibile visualizzare (e raggruppare per) fornitori, vulnerabilità e sorgente e destinazione dell'attacco.
È stata aggiunta un'ulteriore categoria di visualizzazione - Monitoraggio:
Questa è una tabella aggiornata giornalmente delle vulnerabilità maggiormente sfruttate raggruppate per IP sorgente unici osservati per gli attacchi (o per tentativi di attacco osservati, se si seleziona l'opzione di statistica dei tentativi di connessione). I dati provengono dalla nostra rete di sensori honeypot. I dati sono raggruppati per vulnerabilità sfruttate. Comprendono anche le mappature delle vulnerabilità sfruttate note monitorate da CISA (compreso il fatto che siano state sfruttate da un gruppo di ransomware) e che l'attacco sia stato sferrato contro un dispositivo IoT piuttosto che contro un'applicazione server.
Per impostazione predefinita il display mostra le vulnerabilità più comuni sfruttate in tutto il mondo, ma è possibile anche filtrare per un paese o un raggruppamento specifico o visualizzare una tabella delle anomalie.
Statistiche di attacco: dispositivi
Questo set di dati e le visualizzazioni associate forniscono un'istantanea giornaliera dei tipi di dispositivi di attacco osservati dalla nostra rete di sensori honeypot. Il rilevamento delle impronte digitali di questi dispositivi avviene attraverso le nostre scansioni quotidiane. I set di dati consentono di tracciare particolari tipi di attacchi, fornitori di dispositivi o modelli e possono essere filtrati per paese.
Esistono grafici simili a quelli di "Statistiche generali", con la differenza che invece di utilizzare sorgenti e tag è possibile visualizzare (e raggruppare per) tipo, dispositivo fornitore o modello di attacco.
È stata aggiunta un'ulteriore categoria di visualizzazione - monitoraggio:
Questa è una tabella aggiornata giornalmente dei dispositivi di attacco più comuni visti dagli IP sorgente unici osservati per gli attacchi (o dei tentativi di attacco visti, se si seleziona l'opzione statistica dei tentativi di connessione). Come tutti i set di dati visualizzati in questa categoria, proviene dalla nostra rete di sensori honeypot. È raggruppato per tipo di attacco visto, fornitore e modello (se disponibile). Determiniamo il dispositivo attaccante correlando gli IP visti con i risultati della nostra scansione giornaliera delle impronte digitali dei dispositivi (vedere la sezione "Statistiche dei dispositivi IoT").
Per impostazione predefinita il display mostra i dispositivi di attacco più comuni (per sorgente) visti attaccare (questo comprende casi in cui non riusciamo a identificare un dispositivo o, per esempio, identifichiamo solo un fornitore). È possibile scegliere di filtrare per un paese o per un raggruppamento in particolare o visualizzare una tabella delle anomalie.