დახმარება

ზოგადი დახმარება

მონაცემთა პანელის მიმოხილვა

Shadowserver Dashboard წარმოადგენს მაღალი დონის სტატისტიკას, სადაც ასახულია ძირითადი მონაცემთა კრებულები, რომელთაც Shadowserver აგროვებს და აზიარებს თავისი ყოველდღიური აქტივობების მეშვეობით 100-ზე მეტ ყოველდღიურ ანგარიშში. მონაცემთა კომპლექტები იძლევა შეტევის სივრცის, მოწყვლადობის, არასწორი კონფიგურაციის, ქსელების გატეხის იდენტიფიკაციისა და შეტევებზე დაკვირვების შესაძლებლობას. ანგარიშების სახით გაზიარებული მონაცემები შეიცავს დეტალურ IP დონის ინფორმაციას კონკრეტული ქსელის ან კლიენტების შესახებ. Shadowserver Dashboard არ იძლევა ამ დონის დეტალიზაციის შესაძლებლობას. ამის ნაცვლად, ის წარმოადგენს მაღალი დონის სტატისტიკას, რომლებშიც ასახულია ეს აქტივობები. ეს იძლევა უახლესი წარმოშობილი საფრთხეების, მოწყვლადობის, ინციდენტების ანალიზს, რაც ფართო საზოგადოებას ანიჭებს სიტუაციური ინფორმირებულობის შესაძლებლობას და ამავდროულად ინარჩუნებს თითოეული ჩართული მხარის ანონიმურობას.

წყაროები და ტეგები

მონაცემები წარმოდგენილია წყაროების და ტეგების გარშემო. წყარო წარმოადგენს მონაცემების გარკვეული ფორმის დაჯგუფებას. ძირითადი წყაროებია honeypot, population, scan, sinkhole. პოპულაცია და სკანი არის სკანირებაზე დაფუძნებული მონაცემთა კრებულები, სადაც პოპულაცია წარმოადგენს ზემოქმედების საბოლოო წერტილს მოწყვლადობის/უსაფრთხოების შეფასების გარეშე. 6 სუფიქსი წარმოადგენს IPv6 მონაცემებს (სუფიქსის გარეშე არსებული ყველა ჩანაწერი შეეხება IPv4 მონაცემებს).

წყაროებს შეიძლება ჰქონდეთ მათთან ასოცირებული ტეგები, რომლებიც იძლევიან დამატებით კონტექსტს წარმოდგენილი მონაცემებისთვის. მაგალითად, scan კოდი შეიცავს სკანირების სხვადასხვა ტიპებს (მაგ: სერვისები/პროტოკოლები, რომელთა სკანირებაც ხდება, როგორებიცაა telnet, ftp და rdp). sinkhole ტეგი ასახავს არსებული დამაზიანებელი პროგრამის ოჯახებს, რომლებიც სინკჰოულს უერთდება (მაგ: დამაზიანებელი პროგრამების ოჯახით დაზიანებული ჰოსტები, როგორიცაა adload, andromeda და necurs).

ტეგები იძლევა წარმოდგენილი მონაცემების დამატებითი ანალიზის შესაძლებლობას.

დამატებით, ჩვენ გვაქვს წყაროების დაჯგუფება, რათა უკეთ ავსახოთ მოწყვლად ან გატეხილ ჰოსტებზე განხორციელებული დაკვირვებები - მაგალითად, http_vulnerable ან compromised_website. მათში შევა ტეგები, რომლებიც ასახავენ კონკრეტულ CVE მოწყვლადობას, მომწოდებლებს ან პროდუქტებს, რომელთაც ზიანი მიადგათ ან ინფორმაციას ფუნქცია-ხაფანგის, ვებგარსის და იმპლანტების შესახებ. http_vulnerable-ის მაგალითებია citrix ან cve-2023-3519.

და ბოლოს, რადგან ჩვენ ვამატებთ მეტ გამოვლენას ჩვენს მონაცემთა კრებულზე, შედეგად ვიღებთ უფრო მეტ ტეგს. ეს ნიშნავს, რომ ასარჩევად შეიძლება გამოჩნდეს ახალი წყაროს კატეგორიები. მაგალითად, snmp არის წყაროს scan კოდი, ის არის წყაროც. ეს გვაძლევს snmp სკანირების უფრო დეტალური შედეგების მიღების შესაძლებლობას, რომელიც ასოცირებულია ისეთ მოწყვლადობასთან, როგორიცაა cve-2017-6736.

სწრაფი ბმულები მონაცემთა კატეგორიებთან: მარცხენა ნავიგაციის ზოლი

წარმოდგენილი მონაცემთა კრებულები შეგროვებულია სხვადასხვა სახის დიდი მასშტაბის შეგროვების მეთოდების გამოყენებით, მათ შორის სინკჰოლინგის, სკანირების და ჰაკერების მახეების გამოყენებით. მონაცემთა ეს ძირითადი კატეგორიები გაზიარებულია მარცხენა ნავიგაციის ზოლში, სადაც კატეგორიის თითოეული ტიპის სიმბოლო მოცემულია სხვადასხვა სახის ხატულას გამოყენებით.

მიზანს წარმოადგენს კონკრეტულ source კატეგორიებში სწრაფი შესვლა. მაგალითად:

  • სინკჰოულები - აკეთებს წყაროს sinkhole მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვას. თქვენ შეგიძლიათ ნახოთ კონკრეტული სინკჰოლის შედეგი ტეგის ან ტეგების ჯგუფის შერჩევის გზით.
  • სკანირება - იძლევა წყაროს scan მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვის შესაძლებლობას (ეს კატეგორია შეიცავს სკანირების შედეგებს სერვისებთან მიმართებით, რომელთაც აქვთ მათთან ასოცირებული უსაფრთხოების პრობლემები. თქვენ აგრეთვე შეგიძლიათ პოპულაციის სკანირების შედეგების ნახვა წყაროს population არჩევის გზით). ამის შემდეგ თქვენ შეძლებთ კონკრეტული სკანირების შედეგის ნახვას ტეგის ან ტეგების ჯგუფის შერჩევით.
  • ჰაკერის მახეები - აკეთებს წყაროს honeypot მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვას. თქვენ შეგიძლიათ ნახოთ კონკრეტული მონაცემთა ხაფანგის შედეგი ტეგის ან ტეგების ჯგუფის შერჩევის გზით.
  • DDoS - აკეთებს წყაროს honeypot_ddos_amp-ის მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვას. ეს არის გაძლიერებული DDoS შეტევები, რომელთაც უნიკალური სამიზნეები ხედავენ კონკრეტულ ქვეყანაში/რეგიონში. თქვენ შეძლებთ კონკრეტული გაძლიერების მეთოდის ნახვას ტეგის ან ტეგების ჯგუფის შერჩევით.
  • ICS - აკეთებს წყაროს ics-ის მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვას (რაც არის ეროვნული ინდუსტრიული კონტროლის სისტემების პროტოკოლების სკანირების შედეგი). გამოყენებული ეროვნული პროტოკოლების ნახვა შეგიძლიათ ტეგის ან ტეგების ჯგუფის შერჩევით.
  • Web CVEs - აკეთებს http_vulnerable-ს და exchange მიხედვით დაჯგუფებული მონაცემთა კრებულის მიმოხილვას. ესენია მოწყვლადი ვებ გამოყენებები, რომლებიც ჩვეულებრივ იდენტიფიცირებულია ჩვენს სკანირებაში CVE-ს მიერ. CVE-ს ან დაზიანებული პროდუქტების ნახვა შეგიძლიათ ტეგის ან ტეგების ჯგუფის შერჩევით.

მონაცემთა კრებულის ჩამონათვალის გაკეთება შესაძლებელია ქვეყნების ან ქვეყნების დაჯგუფებების მიხედვით.

თითოეული მონაცემთა კრებული აგრეთვე აღწერილია ნაწილში “ამ მონაცემების შესახებ”.

გთხოვთ, გაითვალისწინეთ, რომ აქ მითითებულზე მეტი მონაცემთა კრებული არსებობს. მაგალითად, წყაროს beacon მოგცემთ C2s გამოყენების შემდგომი ჩარჩოს გაცნობის შესაძლებლობას, რომლებიც ჩანს ჩვენს სკანირებებში და compromised_website წყარო მოგცემთ ჩვენ მიერ სკანირებისას გამოვლენილი დაზიანებული ვების საბოლოო წერტილების გაცნობის შესაძლებლობას.

ზედა ნავიგაციის ზოლი

ზედა ნავიგაციის ზოლი იძლევა მონაცემთა პრეზენტაციის სხვადასხვა სახის ვიზუალიზაციის შესაძლებლობებს, აგრეთვე მოწყობილობის იდენტიფიკაციის და შეტევაზე დაკვირვების მონაცემთა კრებულის ვიზუალიზაციის შესაძლებლობას.

ზოგადი სტატისტიკა

ზოგადი სტატისტიკა მოიცავს ნებისმიერი წყაროს და ტეგის ვიზუალიზაციის შესაძლებლობას შემდეგის არჩევის გზით:

  • მსოფლიო რუკა - მსოფლიო რუკა, სადაც ნაჩვენებია შერჩეული წყაროები და ტეგები. დამატებით ფუნქციებში შედის: ეკრანის ჩართვის შესაძლებლობა თითოეულ წყაროზე ქვეყნის მიხედვით ყველაზე გავრცელებული ტეგების საჩვენებლად, პოპულაციის მიხედვით ნორმალიზაცია, GDP, მომხმარებლების დაკავშირება და ა.შ. აგრეთვე შეგიძლიათ რუკაზე მარკერების შერჩევა, რათა გამოჩნდეს სიდიდეები ქვეყნების მიხედვით.
  • რეგიონის რუკა - ქვეყნის დონის რუკა, სადაც ნაჩვენებია რეგიონებად და პროვინციებად დაყოფილი ქვეყნები.
  • შედარებითი რუკა - ორი ქვეყნის შედარებითი რუკა.
  • დროის რიგი - დიაგრამა, რომელზეც ნაჩვენებია წყაროს და ტეგის კომბინაციები დროის განმავლობაში. გაითვალისწინეთ, რომ ეს იძლევა მონაცემთა დაჯგუფებების სხვადასხვა ფორმების არსებობის შესაძლებლობას (და არა მარტო ქვეყნის მიხედვით).
  • ვიზუალიზაცია - გთავაზობთ მონაცემთა კრებულებში დეტალიზაციის სხვადასხვა ვარიანტებს, მათ შორის დროთა განმავლობაში სიდიდეების საშუალო მაჩვენებლების ჩათვლით. ის იძლევა მონაცემების ცხრილის, სვეტოვანი და ბუშტებიანი დიაგრამის და სხვა სახით წარმოდგენის შესაძლებლობას.

ინტერნეტის მეშვეობით კონტროლის სისტემის მქონე მოწყობილობების სტატისტიკა (მოწყობილობის იდენტიფიკაციის სტატისტიკა)

ეს მონაცემთა კრებული და დაკავშირებული ვიზუალიზაცია გვაძლევს გავლენის ქვეშ არსებული საბოლოო წერტილების ყოველდღიური მომენტალური სურათის გაკეთების შესაძლებლობას, რომლებიც დაჯგუფებულია ჩვენი სკანირების მეშვეობით იდენტიფიცირებული ზემოქმედების ქვეშ არსებული მომწოდებლებისა და მათი პროდუქტების მიხედვით. მონაცემების კატეგორიზაცია განხორციელებულია მომწოდებლების, მოდელის და მოწყობილობის ტიპის მიხედვით. მათი იდენტიფიცირება ხდება სხვადასხვა საშუალების გამოყენებით, მათ შორის ვებ-გვერდის შიგთავსის, SSL/TLS სერტიფიკატების, ნაჩვენები ბანერების და ა.შ. მეშვეობით. მონაცემთა კრებული შეიცავს მონაცემებს პოპულაციის შესახებ მხოლოდ მაშინ, თუ არ არის გაკეთებული ზემოქმედების ქვეშ არსებულ საბოლოო წერტილებთან ასოცირებული მოწყვლადობის შეფასება (მათ სანახავად აირჩიეთ წყარო, მაგალითად http_vulnerable “ზოგად სტატისტიკაში”).

“ზოგად სტატისტიკაში” არსებული მსგავსი ვიზუალიზაციის დიაგრამები არსებობს. განსხვავება იმაშია, რომ წყაროების და ტეგების გამოყენების ნაცვლად თქვენ შეგიძლიათ დაათვალიეროთ (და დააჯგუფოთ) მომწოდებლები, მოდელები და მოწყობილობის ტიპები.

შეტევის სტატისტიკა: სუსტი მხარეები

ეს მონაცემთა კრებული და მასთან დაკავშირებული ვიზუალიზაცია გვაძლევს ჩვენი ჰაკერების ხაფანგის სენსორის ქსელით შემჩნეული შეტევების ყოველდღიური მომენტალური სურათის გაკეთების შესაძლებლობას, სადაც ყურადღება გამახვილებულია გამოყენებულ მოწყვლადობაზე. ამაში შედის იმ პროდუქტების ნახვა, რომლებზეც შეტევა ხშირად ხორციელდება და იმის შესწავლა, თუ როგორ ხორციელდება მათზე შეტევა (მაგ: რომელი მოწყვლადობის გამოყენებით, რომელშიც შეიძლება შედიოდეს კონკრეტული CVE). აგრეთვე შეგიძლიათ დიაგრამების ნახვა შეტევების წყაროსა და დანიშნულების ადგილის მიხედვით.

“ზოგად სტატისტიკაში” არსებული მსგავსი ვიზუალიზაციის დიაგრამები არსებობს. განსხვავება იმაშია, რომ წყაროების და ტეგების გამოყენების ნაცვლად თქვენ შეგიძლიათ დაათვალიეროთ (და დააჯგუფოთ) მომწოდებლები, მოწყვლადობა აგრეთვე შეტევების წყარო და დანიშნულების ადგილები.

აგრეთვე დაემატა მონიტორინგი - დამატებითი ვიზუალიზაციის კატეგორია:

ეს არის ყველაზე გავრცელებული გამოყენებული მოწყვლადობის განახლებული ცხრილი, რომელიც დაჯგუფებულია შეტევის განმახორციელებელი უნიკალური წყარო IP-ის მიხედვით (ან შესაძლებელია შეტევის მცდელობების ნახვა, თუ აირჩევთ მცდელობების სტატისტიკის ოფციასთან დაკავშირებას). მონაცემები მიღებულია ჩვენი ჰაკერების ხაფანგის სენსორის ქსელიდან. მონაცემები დაჯგუფებულია გამოყენებული მოწყვლადობების მიხედვით. ის აგრეთვე მოიცავს CISA-ს ცნობილი მოწყვლადობის გამოყენების რუკას (მათ შორის იმის ჩათვლით, ცნობილია თუ არა, რომ გამოყენება მოხდა გამომძალველი პროგრამის ჯგუფის მიერ) და აგრეთვე შეტევა არის ინტერნეტით კონტროლის სისტემის მქონე მოწყობილობის მიმართ თუ სერვერის აპლიკაციის მიმართ განხორციელებული.

ეკრანზე ნაგულისხმევი სახით ნაჩვენებია მთელი მსოფლიოს მასშტაბით ყველაზე მეტად გავრცელებული გამოყენებული მოწყვლადობა, თუმცა თქვენ აგრეთვე შეგიძლიათ კონკრეტული ქვეყნის ან ქვეყნების ჯგუფის მიხედვით გაფილტვრა ან ამის ნაცვლად ანომალიის ცხრილის ჩვენება.

შეტევის სტატისტიკა: მოწყობილობები

ეს მონაცემთა კრებული და მასთან დაკავშირებული ვიზუალიზაცია გვაძლევს ჩვენი ჰაკერების ხაფანგის სენსორის ქსელით შემჩნეული შეტევების განმახორციელებელი მოწყობილობების ტიპის ყოველდღიური მომენტალური სურათის გაკეთების შესაძლებლობას. ამ მოწყობილობების შემოწმება ჩვენი ყოველდღიური სკანირების მეშვეობით ხორციელდება. მონაცემთა კრებული იძლევა კონკრეტული შეტევის ტიპების, მოწყობილობის მომწოდებლების ან მოდელების თვალის დევნების შესაძლებლობას და შესაძლებელია ქვეყნის მიხედვით გაფილტვრა.

არსებობს “ზოგად სტატისტიკაში” არსებული დიაგრამების მსგავსი დიაგრამები, სადაც განსხვავებას წარმოადგენს ის,რომ წყაროების და ტეგების გამოყენების ნაცვლად თქვენ შეგიძლიათ ნახოთ (და დააჯგუფოთ) შეტევის ტიპი, მოწყობილობის მომწოდებელი ან მოდელიl.

აგრეთვე დაემატა მონიტორინგი - დამატებითი ვიზუალიზაციის კატეგორია:

ეს არის ყველაზე გავრცელებული შეტევის განმახორციელებელი მოწყობილობების განახლებული ყოველდღიური ცხრილი, რომელიც დაჯგუფებულია შეტევის განმახორციელებელი უნიკალური წყარო IP-ის მიხედვით (ან შესაძლებელია შეტევის მცდელობების ნახვა, თუ აირჩევთ მცდელობების სტატისტიკის ოფციასთან დაკავშირებას). როგორც ამ კატეგორიაში ნაჩვენები ყველა მონაცემის კომპლექტის შემთხვევაში, ის მიღებულია ჩვენი ჰაკერების ხაფანგის სენსორული ქსელიდან. ის დაჯგუფებულია გამოვლენილი შეტევის ტიპის, მომწოდებლის და მოდელის მიხედვით (თუ ხელმისაწვდომია). ჩვენ ვადგენთ შეტევის განმახორციელებელ მოწყობილობას გამოვლენილი IP-ების ჩვენი მოწყობილობის ყოველდღიურ ანაბეჭდების იდენტიფიკაციის შედეგებთან დაკავშირების გზით (იხილეთ “ინტერნეტით კონტროლის სისტემის მქონე მოწყობილობების სტატისტიკა”).

ნაგულისხმევი სახით ის უჩვენებს ყველაზე გავრცელებულ შეტევის განმახორციელებელ მოწყობილობებს (წყაროს მიხედვით) (აქ შედის ის შემთხვევებიც როცა ჩვენ ვერ ვახერხებთ მოწყობილობის იდენტიფიკაციას ან მაგალითად, ვაკეთებთ მხოლოდ მომწოდებლის იდენტიფიცირებას). თქვენ აგრეთვე შეგიძლიათ კონკრეტული ქვეყნის ან ქვეყნების ჯგუფის მიხედვით გაფილტვრა ან ამის ნაცვლად ანომალიის ცხრილის ჩვენება.

Shadowserver Dashboard-ის შემუშავება დააფინანსა UK FCDO-მ. ინტერნეტით კონტროლირებადი მოწყობილობის თითის ანაბეჭდების აღების და ჰაკერების ხაფანგის შეტევების სტატისტიკა დაფინანსებულია ევროკავშირის ევროპის გაერთიანების ფონდის მიერ (EU CEF VARIoT project).

გვსურს მადლობა გადავუხადოთ ყველა პარტნიორს, რომლებმაც წვლილი შეიტანეს Shadowserver Dashboard-ში გამოყენებულ მონაცემებში, მათ შორის (მოცემულია ანბანური თანმიმდევრობით) APNIC Community Feeds-ს, CISPA-ს, if-is.net, Kryptos Logic-ს, SecurityScorecard-ს, იოკოჰამას ეროვნულ უნივერსიტეტს და ყველას, ვინც ანონიმურად დარჩენა ირჩია.

Shadowserver იყენებს ქუქი ფაილებს ანალიტიკური მონაცემების შესაგროვებლად. ის გვეხმარება იმის დადგენაში, თუ რა სახით გამოიყენება საიტი და აგრეთვე მას ვიყენებთ ჩვენი მომხმარებლებისთვის გამოცდილების გაუმჯობესებაში. ქუქი ფაილებისა და Shadowserver-ის მიერ მათი გამოყენების სახის შესახებ დამატებითი ინფორმაციისთვის იხილეთ ჩვენი კონფიდენციალურობის წესები. ჩვენ გვჭირდება თქვენი თანხმობა თქვენს მოწყობილობაზე ქუქი ფაილების ამ სახით გამოსაყენებლად.