Prietaisų skydelio peržiūra

„Shadowserver“ prietaisų skydelyje pateikiama aukšto lygio statistika, atspindinti pagrindinius duomenų rinkinius, kuriuos „Shadowserver“ renka ir bendrina savo kasdienės veiklos metu, daugiau nei 100 kasdienių ataskaitų. Duomenų rinkiniai leidžia identifikuoti atvirą išpuolio paviršių, saugumo spragas, netinkamas konfigūracijas, tinklų pažeidimus, taip pat stebėti išpuolius. Ataskaitų forma bendrinami duomenys, apima išsamią IP lygio informaciją apie konkretų tinklą arba klientus. „Shadowserver“ prietaisų skydelis tokio detalumo lygio nesuteikia. Vietoje to, jis suteikia šią veiklą atspindinčius aukšto lygio statistinius duomenis. Tai leidžia įžvelgti naujausias kylančias grėsmes, saugumo spragas ir incidentus, platesnei bendruomenei suteikiančius informacijos apie situaciją, išsaugant visų susijusių šalių anonimiškumą.

Šaltiniai ir žymos

Duomenų pateikimas yra organizuojamas aplink sources ir tags. Šaltinis iš esmės yra tam tikros formos duomenų grupavimas. Įprastiniai šaltiniai yra honeypot, population, scan, sinkhole. Tiek populiacija, tiek nuskaitymas yra nuskaitymu pagrįsti duomenų rinkiniai, o populiacija yra poveikio vertinamųjų baigčių skaičius be saugumo spragų/saugumo įvertinimo. Ši 6 priesaga žymi IPv6 duomenis (visi įrašai be galūnės nurodo IPv4 duomenis).

Šaltiniai gali turėti su jais susietas žymas, kurios suteikia papildomą kontekstą pateikiamiems duomenims. Pavyzdžiui, žymos, skirtos scan apims faktinius skirtingus nuskaitymo tipus (pvz., nuskaitomas paslaugas / protokolus). telnet, ftp and rdp). Žymos, skirtos sinkhole atspindėtų tikras kenkėjiškų programų šeimas, kurios jungiasi prie smegduobės (pvz., pagrindiniai kompiuteriai, užkrėsti kenkėjiškų programų šeimos tipu, pvz., adload, andromeda ir necurs).

Žymos suteikia papildomų įžvalgų apie pateiktus duomenis.

Be to, pristatome papildomas šaltinių grupes, kad geriau atspindėtume pastebėjimus apie pažeidžiamus ar pažeistus pagrindinius kompiuterius, pvz., http_vulnerable or compromised_website. Paprastai juose yra žymos, atspindinčios konkrečias CVE saugumo spragas, paveiktus tiekėjus ar produktus arba informaciją apie pastebėtas atsargines duris, žiniatinklio apvalkalus ar implantus. Pavyzdys, skirtas http_vulnerable būtų citrix arba cve-2023-3519.

Galiausiai, kai į savo duomenų rinkinius įtraukiame daugiau aptikimų, gauname daugiau žymų. Tai reiškia, kad gali pasirodyti naujos šaltinių kategorijos, iš kurių galima rinktis. Pavyzdžiui, nei jeigu snmp yra šaltinyje esanti žyma scan, ji taip pat yra pateikiama kaip šaltinis. Tai leidžia mums pateikti išsamesnius SNMP nuskaitymo rezultatus, kurie leidžia peržiūrėti konkrečius SNMP nuskaitymo rezultatus, susijusius su saugumo spragomis, pvz. cve-2017-6736.

Greitos nuorodos į duomenų kategorijas: Kairioji naršymo juosta

Pateikti duomenų rinkiniai yra renkami naudojant įvairius didelio masto rinkimo metodus, įskaitant smegduobę, nuskaitymą ir „honeypots“. Šios pagrindinės duomenų rinkinių kategorijos yra bendrinamos kairiojoje naršymo juostoje, o kiekvienas kategorijos tipas yra pažymėtas skirtinga piktograma.

Tikslas – greičiau pereiti į tam tikras source kategorijas. Pavyzdžiui:

  • Sinkholes - pateikiama duomenų rinkinių, sugrupuotų pagal šaltinį sinkhole apžvalga. Tuomet, pasirinkę žymą arba žymų grupę, jūs galite peržiūrėti tam tikrą smegduobės rezultatą.
  • Scans - pateikiama duomenų rinkinių, sugrupuotų pagal šaltinį scan apžvalga (šioje kategorijoje yra pateikiami paslaugų, kurios turi tam tikrų saugumo problemų, nuskaitymo rezultatai. Taip pat galite peržiūrėti populiacijos nuskaitymo rezultatus, vietoje to pasirinkę šaltinį population). Tuomet, pasirinkę žymą arba žymų grupę, galite peržiūrėti konkretų nuskaitymo rezultatą.
  • Honeypots - pateikiama duomenų rinkinių, sugrupuotų pagal šaltinį honeypot apžvalga. Tuomet, pasirinkę žymą arba žymų grupę, galite peržiūrėti konkretų „honeypot“ rezultatą.
  • DDoS - pateikiama duomenų rinkinių, sugrupuotų pagal šaltinį honeypot_ddos_amp apžvalga. Tai yra DDoS sustiprinimo išpuoliai, kuriuos mato unikalūs taikiniai tam tikroje šalyje / regione. Tuomet, pasirinkę žymą arba žymų grupę, galite peržiūrėti konkretų naudojamą stiprinimo metodą.
  • ICS - pateikiama duomenų rinkinių, sugrupuotų pagal šaltinį ics apžvalga (kurie yra vietinių „Industrial Control Systems“ protokolų nuskaitymo rezultatai). Tuomet, pasirinkę žymą arba žymų grupę, galite peržiūrėti naudojamus savuosius protokolus.
  • Web CVEs - pateikiama duomenų rinkinių, sugrupuotų pagal http_vulnerable ir exchange apžvalga. Tai yra pažeidžiamos žiniatinklio programos, kurias paprastai nuskaito CVE. Pasirinkę žymą arba žymų grupę, galite peržiūrėti CVE arba paveiktus produktus.

Duomenų rinkiniai gali būti suskirstyti pagal šalį arba šalių grupes, regionus ir žemynus.

Kiekvienas duomenų rinkinys taip pat aprašytas skyriuje „Informacija apie šiuos duomenis“.

Prašome atkreipti dėmesį, kad yra daugiau duomenų rinkinių nei tie, kurie yra paryškinti. Pavyzdžiui, šaltinis beacon leis jums susipažinti su C2 po eksploatacine sistema, kurią matome nuskaitymuose, o šaltinis compromised_website leis jums susipažinti su pažeistomis žiniatinklio vertinamosiomis baigtimis, kurios taip pat yra matomos mūsų nuskaitymuose.

Viršutinė naršymo juosta

Viršutinėje naršymo juostoje galima naudoti įvairias duomenų pateikimo vizualizacijos parinktis, taip pat vizualizuoti prietaiso identifikavimo ir išpuolių stebėjimo duomenų rinkinius.

Bendrieji statistiniai duomenys

Bendrieji statistiniai duomenys apima gebėjimą vizualizuoti bet kokį source ir tag pasirenkant:

  • World map - pasaulio žemėlapio ekranas, kuriame rodomas pasirinktas sources ir tags. Papildomos funkcijos apima: galimybę perjungti ekraną, kad kiekvienoje šalyje ir šaltinyje būtų rodoma dažniausiai pasitaikanti žyma, normalizavimas pagal gyventojų skaičių, BVP, prijungti vartotojus ir t.t. Taip pat žemėlapyje galite pasirinkti žymeklius, kad būtų rodomos kiekvienos šalies reikšmės.
  • Region map - šalies lygio žemėlapio ekranas, kuriame šalys yra suskirstytos į regionus ir provincijas.
  • Comparison map - dviejų šalių palyginimo žemėlapis.
  • Time series - diagrama, rodanti source ir tag derinius laiko atžvilgiu. Atminkite, kad tai leidžia grupuoti duomenis įvairiomis formomis (ne tik pagal šalį).
  • Visualization - siūlo įvairias duomenų rinkinių įsigilinimo parinktis, įskaitant verčių vidurkius laiko atžvilgiu. Leidžia rodyti duomenis lentelių, juostų diagramų, burbulinių diagramų ir kt. pavidalu.

IoT prietaisų statistika (prietaiso identifikavimo statistika)

Šis duomenų rinkinys ir susijusios vizualizacijos suteikia kasdienę atskleistų vertinamųjų baigčių, sugrupuotų pagal mūsų nuskaitymuose identifikuotus, atskleistus tiekėjus ir jų produktus, momentinį vaizdą. Duomenys yra suskirstyti į kategorijas pagal tiekėją, modelį ir prietaiso tipą. Jie yra identifikuojami įvairiomis priemonėmis, įskaitant tinklalapio turinį, SSL/TLS sertifikatus, rodomas reklamjuostes ir kt. Duomenų rinkiniuose yra pateikiami tik gyventojų duomenys, t.y. Nėra vertinamos jokios saugumo spragos, susijusios su atskleistomis vertinamosiomis baigtimis (norėdami jas rasti, vietoje „Bendrieji statistiniai duomenys“ pasirinkite šaltinius, pvz., http_vulnerable).

Egzistuoja panašios vizualizacijos diagramos, kaip ir „Bendrojoje statistikoje“, tačiau skirtumas yra tas, kad vietoje sources ir tags galite peržiūrėti (ir grupuoti pagal) vendors, models ir device types.

Išpuolių statistiniai duomenys: Saugumo spragos

Šis duomenų rinkinys ir susijusios vizualizacijos pateikia kasdienę išpuolių, kuriuos mato mūsų „honeypot“ jutiklių tinklas, momentinį vaizdą, daugiausia dėmesio skiriant išnaudojimui naudojamoms saugumo spragoms. Tai apima galimybę peržiūrėti produktus, prieš kurios yra dažniausiai vykdomi išpuoliai, bei ištirti, kaip šie išpuoliai yra vykdomi (pvz., dėl kokių saugumo spragų, kurios gali apimti tam tikrą išnaudojamą CVE). Taip pat galite peržiūrėti diagramas pagal išpuolių šaltinį ir paskirties vietas.

Egzistuoja panašios vizualizacijos diagramos, kaip ir „Bendrojoje statistikoje“, tačiau skirtumas yra tas, kad vietoje sources ir tags jūs galite peržiūrėti (ir grupuoti pagal) vendor, vulnerability, taip pat išpuolius source ir destination.

Taip pat buvo pridėta papildoma vizualizacijos kategorija - „Stebėjimas“:

Tai yra atnaujinta kasdienė dažniausiai išnaudojamų saugumo spragų lentelė, sugrupuota pagal unikalius šaltinio IP adresus, stebimus išpuolio metu (arba stebimus išpuolio bandymus, jei pasirenkate parinktį „Prisijungimo bandymų statistiniai duomenys“). Duomenys yra gaunami iš mūsų „honeypot“ jutiklių tinklo. Duomenys yra grupuojami pagal išnaudotas saugumo spragas. Tai taip pat apima CISA žinomos išnaudotos saugumo spragos brėžinius (įskaitant tai, ar žinoma, kad išnaudojimą atlieka „ransomware“ programų grupė), taip pat tai, ar išpuolis yra nukreiptas prieš daiktų interneto prietaisą, o ne serverio programą.

Pagal numatytuosius nustatymus, ekrane yra rodomi dažniausios visame pasaulyje išnaudojamos saugumo spragos, tačiau jas taip pat galite filtruoti pagal konkrečią šalį ar grupes arba vietoj jų rodyti anomalijų lentelę.

Išpuolių statistiniai duomenys: Prietaisai

Šis duomenų rinkinys ir susijusios vizualizacijos suteikia kasdienę išpuolius vykdančių prietaisų tipų, kuriuos mato mūsų „honeypot“ jutiklių tinklas, momentinį vaizdą. Šių prietaisų pirštų atspaudai yra nuskaitomi kasdien. Duomenų rinkiniai leidžia sekti konkrečius išpuolių tipus, prietaisų tiekėjus ar modelius ir gali būti filtruojami pagal šalį.

Egzistuoja panašios vizualizacijos diagramos, kaip ir „Bendrojoje statistikoje“, tačiau skirtumas yra tas, kad vietoje sources ir tags jūs galite peržiūrėti (ir grupuoti pagal) išpuolį type, prietaisą vendor arba model.

Taip pat buvo pridėta papildoma vizualizacijos kategorija - „Stebėjimas“:

Tai yra atnaujinta kasdieninė lentelė su dažniausiai pasitaikančiais išpuolius vykdančiais prietaisais, kuriuos stebi unikalūs šaltinio IP, stebimi atakuojant (arba matomi išpuolių bandymai, jei pasirenkate parinktį „Prisijungimo bandymų statistiniai duomenys“). Kaip ir visi šioje kategorijoje rodomi duomenų rinkiniai, jie yra gaunami iš mūsų „honeypot“ jutiklių tinklo. Jie yra sugrupuoti pagal stebėtą išpuolio tipą, tiekėją ir modelį (jei yra). Išpuolį vykdantį prietaisą mes nustatome koreliuodami matomus IP adresus su mūsų kasdienio prietaiso nuskaitytais pirštų atspaudų rezultatais (žr. skyrių „IoT prietaiso statistiniai duomenys“).

Pagal numatytuosius nustatymus ekrane rodomi dažniausiai išpuolius vykdantys prietaisai (pagal šaltinį) (įskaitant atvejus, kai negalime identifikuoti prietaiso arba, pavyzdžiui, galime nustatyti tik tiekėją). Galite pasirinkti filtruoti pagal konkrečią šalį arba grupavimą arba rodyti anomalijų lentelę.

„Shadowserver“ prietaisų skydelio kūrimą finansavo UK FCDO. IoT prietaiso pirštų atspaudų statistiniai duomenys ir „honeypot“ išpuolių statistika yra bendrai finansuojami iš Europos Sąjungos Europos infrastruktūros ryšių priemonės (EU CEF VARIoT project).

Norėtume padėkoti visiems mūsų partneriams, kurie maloniai prisideda prie Shadowserver“ prietaisų skydelio naudojamų duomenų teikimo, įskaitant (alfabeto tvarka) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University ir visiems, kurie nusprendė likti anonimiški.

„Shadowserver“ analitiniams duomenims rinkti naudoja slapukus. Tai leidžia įvertinti, kaip naudojama svetainė, ir pagerinti mūsų vartotojų patirtį. Norėdami gauti daugiau informacijos apie slapukus ir kaip „Shadowserver“ juos naudoja, žr. privacy policy. Kad tokiu būdu galėtume naudoti slapukus jūsų prietaise, mums reikalingas jūsų sutikimas.