Vadības paneļa pārskats
Shadowserver vadības panelī ir sniegta augsta līmeņa statistika, kas atspoguļo galvenās datu kopas, kuras Shadowserver apkopo un ar kurām dalās, veicot ikdienas darbības vairāk nekā 100 ikdienas ziņojumos. Datu kopas ļauj identificēt atklāto uzbrukumu tvērumu, ievainojamības, kļūdainas konfigurācijas, tīklu kompromitēšanu, kā arī uzbrukumu novērojumus. Dati, kas tiek kopīgoti ziņojumu veidā, satur detalizētu IP līmeņa informāciju par konkrētu tīklu vai apgabalu. Shadowserver vadības panelis nenodrošina šādu detalizācijas pakāpi. Tā vietā tajā tiek sniegta augsta līmeņa statistika, kas atspoguļo šīs darbības. Tas ļauj gūt ieskatu jaunākajos draudos, ievainojamībās un incidentos, sniedzot izpratni par situāciju plašākai sabiedrībai, vienlaikus saglabājot iesaistīto pušu anonimitāti.
Avoti un tagi
Dati tiek atspoguļoti, izmantojot avotus un tagus. Avots būtībā ir noteikta veida datu grupējums. Pamata avoti ir šādi: honeypot
, population
, scan
, sinkhole
. Gan populācija, gan skenējums ir uz skenēšanu balstītas datu kopas, un populācija ir atklātu galapunktu skaits bez ievainojamību/drošības novērtējuma. Sufikss 6
apzīmē IPv6 datus (visi ieraksti bez sufiksa attiecas uz IPv4 datiem).
Avotiem var būt piesaistīti tagi, kas uzrādītajiem datiem sniedz papildu kontekstu. Piemēram, tagos scan
būs norādīti dažādi skenējumu veidi (t. i., skenētie pakalpojumi/protokoli, piemēram, telnet
, ftp
un rdp
). Tagos sinkhole
tiks atspoguļotas faktiskās ļaunatūras saimes, kas savienojas ar kriteni (sinkhole) (t. i., resursdatori, kas inficēti ar ļaunatūras saimes tipu, piemēram, adload
, andromeda
un necurs
).
Tagi sniedz papildu ieskatu uzrādītajos datos.
Turklāt mēs ieviešam arī papildu avotu grupēšanu, lai labāk atspoguļotu neaizsargātu vai kompromitētu resursdatoru novērojumus, piemēram, http_vulnerable
vai compromised_website
. Šajos grupējumos parasti ir tagi, kas atspoguļo konkrētas CVE ievainojamības, ietekmētos ražotājus, produktus vai informāciju par novērotajamām aizmugures durvīm (backdoor), tīmekļa čaulām vai implantiem (implants). Piemērs http_vulnerable
varētu būt citrix
vai cve-2023-3519
.
Visbeidzot, pievienojot mūsu datu kopām vairāk detektorus, mēs iegūstam vairāk tagu. Tas nozīmē, ka var parādīties jaunas avotu kategorijas, no kurām var izvēlēties. Piemēram, lai gan snmp
ir avota scan
tags, tas tiek parādīts arī kā avots. Tas ļauj mums sniegt detalizētākus snmp skenēšanas rezultātus, kas ļauj apskatīt konkrētus snmp skenējumu rezultātus, kas saistīti ar tādu ievainojamību kā, piemēram, cve-2017-6736
.
Ātrās saites uz datu kategorijām: Kreisā navigācijas josla
Uzrādītās datu kopas ir apkopotas, izmantojot dažāda liela mēroga datu vākšanas metodes, tostarp kritenes (sinkholing), skenēšanu un urķuslazdus (honeypots). Šīs galvenās datu kopu kategorijas ir pieejamas kreisajā navigācijas joslā, un katru kategorijas veidu simbolizē atšķirīga ikona.
Mērķis ir ļaut ātrāk iedziļināties konkrētās avotu kategorijās. Piemēram:
-
Kritenes (sinkholes) – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota
sinkhole
. Pēc tam varat apskatīt konkrētas kritenes rezultātu, izvēloties tagu vai tagu grupu. -
Skenējumi – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota
scan
(šajā kategorijā ir to pakalpojumu skenējumu rezultāti, ar kuriem ir saistīta kāda drošības problēma, tā vietā varat skatīt arī populācijas skenējumu rezultātus, izvēloties avotupopulation
). Pēc tam varat apskatīt konkrētu skenējuma rezultātu, izvēloties tagu vai tagu grupu. -
Urķuslazdi (Honeypots) – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota
honeypot
. Pēc tam varat apskatīt konkrētu urķuslazda (honeypot) rezultātu, izvēloties tagu vai tagu grupu. -
DDoS – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota
honeypot_ddos_amp
. Tie ir pastiprināti DDoS (pakalpojumatteices) uzbrukumi, kas novēroti unikāliem mērķiem konkrētā valstī/reģionā. Pēc tam varat apskatīt konkrētu izmantoto pastiprināšanas metodi, izvēloties tagu vai tagu grupu. -
ICS – sniedz pārskatu par datu kopām, kas sagrupētas pēc avota
ics
(kas ir vietējo rūpniecisko vadības sistēmu (ICS) protokolu skenējumu rezultāti). Pēc tam var apskatīt izmantotos vietējos protokolus, izvēloties tagu vai tagu grupu. -
Web CVE – sniedz pārskatu par datu kopām, kas sagrupētas pēc
http_vulnerable
unexchange
. Tās ir neaizsargātas tīmekļa lietojumprogrammas, kas identificētas mūsu skenējumu laikā, parasti pēc CVE. Jūs varat apskatīt CVE vai ietekmētos produktus, izvēloties tagu vai tagu grupu.
Datu kopas var sadalīt pa valstīm vai valstu grupām, reģioniem un kontinentiem.
Katra datu kopa ir aprakstīta arī sadaļā “Par šiem datiem”.
Lūdzu, ņemiet vērā, ka ir pieejamas arī citas datu kopas, kas nav iepriekš norādītās. Piemēram, avots beacon
ļaus jums izpētīt mūsu skenējumos redzamos pēcekspluatācijas satvaru C2, bet avots compromised_website
ļaus jums izpētīt mūsu skenējumos redzamos kompromitētos tīmekļa galapunktus.
Augšējā navigācijas josla
Augšējā navigācijas josla ļauj izmantot dažādas datu attēlošanas un vizualizācijas opcijas, kā arī ierīču identifikācijas un uzbrukumu novērošanas datu kopu vizualizāciju.
Vispārējā statistika
Vispārējā statistika ietver iespēju vizualizēt jebkuru avotu un tagu, izvēloties:
- Pasaules karte – pasaules kartes attēlojums, kurā redzami atlasītie avoti un tagi Papildu funkcijas ietver: iespēju pārslēgt attēlojumu, lai parādītu visizplatītāko tagu katrā valstī katram avotam, normalizāciju pēc populācijas, IKP, savienotajiem lietotājiem utt. Kartē var arī izvēlēties marķierus, lai parādītu vērtības katrai valstij.
- Reģionu karte – valsts līmeņa karte, kurā valstis sadalītas reģionos un provincēs.
- Salīdzinājuma karte – divu valstu salīdzinājuma karte.
- Laikrinda – diagramma, kurā parādītas avotu un tagu kombinācijas laika gaitā. Ņemiet vērā, ka tas ļauj datus grupēt dažādos veidos (ne tikai pēc valstīm).
- Vizualizācija – piedāvā dažādas datu kopu padziļinātas izpētes iespējas, tostarp vidējās vērtības laika gaitā. Tās ļauj datus attēlot tabulās, joslu diagrammās, burbuļu diagrammās un citos veidos.
IoT ierīču statistika (ierīču identifikācijas statistika)
Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par atklātajām gala iekārtām, kas sagrupētas pēc atklātajiem ražotājiem un to produktiem, kuri identificēti, veicot skenēšanu. Dati ir iedalīti kategorijās pēc ražotāja, modeļa un ierīces tipa. Tās tiek identificētas, izmantojot dažādus līdzekļus, tostarp tīmekļa vietnes saturu, SSL/TLS sertifikātus, parādītos banerus u. c. Datu kopas satur tikai populācijas datus, t. i., nav novērtētas ar atklātajiem galapunktiem saistītās ievainojamības (lai tās atrastu, izvēlieties avotus, piemēram, http_vulnerable
sadaļā “Vispārīgā statistika”).
Pastāv līdzīgas vizualizācijas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc ražotājiem, modeļiem un ierīču tipiem.
Uzbrukuma statistika: Ievainojamības
Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par uzbrukumiem, kas novēroti mūsu urķuslazdu sensoru tīklā, galveno uzmanību pievēršot ekspluatācijā izmantotajām ievainojamībām. Tās ietver iespēju apskatīt produktus, kuriem visbiežāk tiek uzbrukts, un izpētīt, kā tiem tiek uzbrukts (t. i., ar kādu ekspluatēto ievainojamību, kas var ietvert konkrētu ekspluatēto CVE). Varat arī skatīt diagrammas pēc uzbrukumu avota un galamērķiem.
Pastāv līdzīgas vizualizācijas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc ražotājiem, ievainojamībām, kā arī uzbrukumu avotiem un galamērķiem.
Ir pievienota arī papildu vizualizācijas kategorija – Monitorings:
Tā ir katru dienu atjaunināta tabula ar visbiežāk izmantotajām ievainojamībām, kas grupētas pēc novērotajām unikālām uzbrukumu avotu IP adresēm (vai novērotajiem uzbrukumu mēģinājumiem, ja izvēlaties opciju skatīt savienojuma mēģinājumu statistiku). Dati tiek iegūti no mūsu urķuslazdu (honeypot) sensoru tīkla. Dati ir sagrupēti pēc izmantotajām ievainojamībām. Tajos ietverti arī CISA Known Exploited Vulnerability kartējumi (tostarp informācija par to, vai ir zināms, ka šo ievainojamību izmanto izspiedējvīrusu grupa), kā arī tas, vai uzbrukums ir vērsts pret IoT ierīci, nevis servera lietojumprogrammu.
Pēc noklusējuma displejā tiek parādītas visbiežāk izmantotās ievainojamības visā pasaulē, taču varat arī filtrēt pēc konkrētas valsts vai grupas vai tā vietā parādīt anomāliju tabulu.
Uzbrukumu statistika: Ierīces
Šī datu kopa un ar to saistītās vizualizācijas sniedz ikdienas pārskatu par to, kādus uzbrūkošo ierīču veidus novēro mūsu urķuslazdu (honeypot) sensoru tīkls. Šo ierīču ciparnospiedumi tiek noņemti, izmantojot mūsu ikdienas skenēšanu. Datu kopas ļauj izsekot konkrētiem uzbrukumu veidiem, ierīču ražotājiem vai modeļiem, un tās var filtrēt pēc valsts.
Pastāv līdzīgas diagrammas kā sadaļā “Vispārējā statistika”, taču atšķirība ir tāda, ka avotu un tagu vietā datus var skatīt un grupēt pēc uzbrukuma veidiem, kā arī ierīču ražotājiem un modeļiem.
Ir pievienota arī papildu vizualizācijas kategorija – monitorings:
Tā ir katru dienu atjaunināta tabula ar ierīcēm, kas visbiežāk novērotas kā uzbrucējas, pēc novērotajām unikālām uzbrukuma avota IP adresēm (vai novērotajiem uzbrukumu mēģinājumiem, ja izvēlaties opciju skatīt savienojuma mēģinājumu statistiku). Tāpat kā visas šajā kategorijā attēlotās datu kopas, arī šīs datu kopas ir iegūtas no mūsu urķuslazdu (honeypot) sensoru tīkla. Dati ir sagrupēti pēc novērotā uzbrukuma veida, ražotāja un modeļa (ja pieejams). Mēs nosakām uzbrūkošo ierīci, sasaistot novērotās IP adreses ar mūsu ikdienas ierīču skenējumos noteiktajiem ciparnospiedumiem (sk. sadaļu “IoT ierīču statistika”).
Pēc noklusējuma displejā tiek parādītas visbiežāk novērotās uzbrūkošās ierīces pēc avota (tas ietver gadījumus, kad mēs nevaram identificēt ierīci vai, piemēram, identificējam tikai ražotāju). Varat izvēlēties filtrēt pēc konkrētas valsts vai grupējuma vai tā vietā parādīt anomāliju tabulu.