Dashboard overview
Papan pemuka Shadowserver menampilkan statistik tahap tinggi yang mencerminkan set data utama yang dikumpulkan dan dikongsi oleh Shadowserver melalui aktiviti harian dalam lebih 100 laporan harian. Set data ini membolehkan pengenalpastian platform serangan yang terdedah, kelemahan, salah konfigurasi, keterjejasan rangkaian serta cerapan serangan. Data yang dikongsi dalam bentuk laporan mengandungi maklumat tahap IP yang terperinci berkaitan rangkaian atau bahagian yang tertentu. Papan Pemuka Shadowserver tidak membenarkan perincian seperti ini. Walau bagaimanapun, statistik tahap tinggi mencerminkan aktiviti ini. Hal ini membolehkan cerapan tentang ancaman yang baru muncul, kelemahan, insiden yang memberikan kesedaran situasi kepada komuniti yang meluas tetapi masih mengekalkan ketanpanamaan mana-mana pihak yang terbabit.
Sources and tags
Pembentangan data disusun berdasarkan sumber dan tag. Pada asasnya, sumber ialah sejenis kelompok data. Sumber asas ialah honeypot
, population
, scan
, sinkhole
. Populasi dan juga imbasan merupakan set data berasaskan imbasan manakala populasi ialah kiraan titik akhir pendedahan tanpa penilaian kelemahan/keselamatan. Akhiran 6
mewakili data IPv6 (semua entri tanpa akhiran merujuk data IPv4).
Sumber mungkin mempunyai tag yang dikaitkan dan memberikan konteks tambahan bagi data yang diberikan. Contohnya, tag untuk scan
menyertakan jenis imbasan berbeza yang sebenar (iaitu perkhidmatan/protokol yang diimbas seperti telnet
, ftp
dan rdp
). Tag untuk sinkhole
akan mencerminkan keluarga perisian hasad sebenar yang menyambung kepada sinkhole (iaitu hos yang dijangkiti jenis keluarga perisian hasad seperti adload
, andromeda
dan necurs
).
Tag memberikan cerapan tambahan tentang data yang diberikan.
Selain itu, kami juga memperkenalkan kelompok sumber tambahan untuk mencerminkan cerapan yang lebih terperinci tentang hos yang lemah atau terjejas - contohnya http_vulnerable
atau compromised_website
. Kod ini biasanya mengandungi tag yang mencerminkan kelemahan CVE yang khusus, vendor atau produk yang terjejas atau maklumat tentang backdoor, webshell atau implant yang dilihat. Contoh bagi http_vulnerable
ialah citrix
atau cve-2023-3519
.
Akhir sekali, lebih banyak pengesanan yang ditambahkan pada set data bermaksud lebih banyak tag. Hal ini bermakna kategori sumber baharu mungkin boleh dipilih. Contohnya, walaupun snmp
merupakan tag sumber scan
, kod ini juga ditampilkan sebagai sumber. Ini membolehkan kami memberikan hasil imbasan snmp yang lebih terperinci agar hasil imbasan snmp khusus yang dikaitkan dengan kelemahan seperti cve-2017-6736
dapat dipaparkan.
Pautan pantas kepada kategori data: Bar navigasi kiri
Set data yang ditampilkan telah dikumpulkan melalui pelbagai kaedah pengumpulan skala besar termasuk sinkhole, pengimbasan dan honeypot. Kategori utama set data ini dikongsi pada bar navigasi kiri, dan setiap kategori diwakili oleh simbol ikon yang berbeza.
Matlamatnya adalah untuk membolehkan cerapan kepada sumber tertentu. Contohnya:
-
Sinkhole - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut sumber
sinkhole
. Anda boleh melihat hasil sinkhole tertentu dengan memilih tag atau kumpulan tag. -
Imbasan - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut sumber
scan
(kategori ini mengandungi hasil imbasan bagi perkhidmatan yang mempunyai beberapa isu keselamatan yang berkaitan, dan anda juga boleh melihat hasil imbasan populasi dengan memilih sumberpopulation
). Kemudian anda boleh melihat hasil imbasan tertentu dengan memilih tag atau kumpulan tag. -
Honeypot - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut sumber
honeypot
. Anda boleh melihat hasil honeypot tertentu dengan memilih tag atau kumpulan tag. -
DDoS - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut sumber
honeypot_ddos_amp
. Serangan DDoS amplifikasi ini dapat diperhatikan oleh sasaran unik di negara/rantau tertentu. Anda boleh melihat kaedah amplifikasi khusus yang digunakan dengan memilih tag atau kumpulan tag. -
ICS - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut sumber
ics
(yang merupakan hasil imbasan protokol Sistem Kawalan Industri natif). Anda kemudiannya boleh melihat protokol natif yang digunakan dengan memilih tag atau kumpulan tag. -
Web CVE - memberikan gambaran keseluruhan set data yang dikumpulkan mengikut
http_vulnerable
danexchange
. Ini merupakan aplikasi web lemah yang dikenal pasti dalam imbasan kami lazimnya menggunakan CVE. Anda boleh melihat CVE atau produk yang terjejas dengan memilih tag atau kumpulan tag.
Set data boleh dibahagikan mengikut negara atau kumpulan negara, rantau dan benua.
Setiap set data juga dihuraikan dalam “Perihal data ini”.
Sila ambil maklum bahawa terdapat lebih banyak set data yang tersedia berbanding dengan yang diterangkan di sini. Contohnya, sumber beacon
membolehkan anda meneroka C2 rangka kerja pascaeksploitasi yang kami lihat dalam imbasan, dan sumber compromised_website
membolehkan anda meneroka titik akhir web terjejas yang dilihat dalam imbasan kami.
Bar navigasi atas
Bar navigasi atas membolehkan pelbagai pilihan visualisasi untuk perwakilan data, selain visualisasi pengenalpastian peranti dan set data pemerhatian serangan.
Statistik umum
Statistik umum termasuk keupayaan untuk menggambarkan sebarang sumber dan tag dengan memilih:
- Peta dunia - paparan peta dunia yang menunjukkan sumber dan tag yang dipilih. Ciri tambahan termasuklah: keupayaan untuk menukar paparan bagi menunjukkan tag yang paling lazim bagi setiap negara bagi setiap sumber, normalisasi mengikut populasi, GDP, pengguna yang bersambung dll. Anda juga boleh memilih penanda pada peta untuk memaparkan nilai bagi setiap negara.
- Peta rantau - paparan peta tahap negara yang menunjukkan negara-negara dibahagikan kepada rantau dan wilayah.
- Peta perbandingan - peta perbandingan dua negara.
- Siri masa - carta yang menunjukkan gabungan sumber dan tag sepanjang masa. Sila ambil maklum bahawa carta ini membolehkan bentuk pengelompokan data yang berlainan (bukan hanya mengikut negara).
- Visualisasi - menawarkan pelbagai pilihan perincian set data, termasuk purata nilai mengikut masa. Membolehkan pemaparan data dalam bentuk jadual, carta bar, diagram gelembung dan banyak lagi.
Statistik peranti IoT (statistik pengenalpastian peranti)
Set data ini dan visualisasi yang berkaitan memberikan gambaran harian tentang titik akhir yang terdedah dan dikumpulkan mengikut vendor yang terdedah serta produk mereka yang dikenal pasti melalui imbasan kami. Data ini dikategorikan mengikut vendor, model dan jenis peranti. Ini dikenal pasti melalui pelbagai kaedah, termasuk kandungan halaman web, sijil SST/TLS, sepanduk yang dipaparkan, dll. Set data mengandungi data populasi sahaja iaitu tiada penilaian dibuat bagi sebarang kelemahan yang dikaitkan dengan titik akhir yang terdedah (untuk mencari titik ini, pilih sumber seperti misalnya http_vulnerable
di bawah “Statistik umum”).
Terdapat carta visualisasi yang serupa seperti dalam “Statistik umum”, dan perbezaannya adalah anda tidak menggunakan sumber dan tag, tetapi anda boleh melihat (dan mengumpulkan mengikut) vendor, model dan jenis peranti.
Attack statistics: Vulnerabilities
Set data ini dan visualisasi yang berkaitan memberikan gambaran serangan harian yang dilihat oleh rangkaian sensor honeypot kami, dengan fokus terhadap kelemahan yang digunakan untuk eksploitasi. Ini termasuklah keupayaan untuk melihat produk yang paling kerap diserang dan meneroka cara produk tersebut diserang (iaitu jenis kelemahan yang dieksploitasi, yang mungkin termasuk eksploitasi CVE yang tertentu). Anda boleh juga melihat carta mengikut sumber serangan dan destinasi.
Terdapat carta visualisasi yang serupa seperti dalam “Statistik umum”, dan perbezaannya adalah anda tidak menggunakan sumber dan tag, tetapi anda boleh melihat (dan mengumpulkan mengikut) vendor, kelemahan selain sumber dan destinasi serangan.
Kategori visualisasi tambahan - Pemantauan juga telah ditambahkan:
Ini ialah jadual harian yang dikemaskinikan bagi kelemahan yang paling lazim dieksploitasi yang dikumpulkan mengikut serangan IP sumber unik yang diperhatikan (atau percubaan serangan yang diperhatikan, jika anda memilih pilihan statistik percubaan sambungan). Data diperoleh daripada rangkaian sensor honeypot kami. Data dikumpulkan mengikut kelemahan yang dieksploitasi. Data juga termasuk pemetaan Kelemahan Eksploitasi yang Diketahui CISA (termasuk sama ada diketahui sebagai dieksploitasi oleh kumpulan perisian tebusan) serta sama ada serangan dilakukan terhadap peranti IoT dan bukan aplikasi pelayan.
Secara lalai, paparan menunjukkan kelemahan yang paling lazim dieksploitasi untuk seluruh dunia, tetapi anda juga boleh menapis mengikut negara atau kelompok tertentu, atau memaparkan jadual anomali.
Attack statistics: Devices
Set data ini dan visualisasi yang berkaitan memberikan gambaran harian tentang jenis peranti serangan yang dilihat oleh rangkaian sensor honeypot kami. Pengecapjarian peranti ini dilakukan melalui imbasan harian. Set data ini membolehkan penjejakan jenis serangan tertentu, vendor atau model peranti dan boleh ditapis mengikut negara.
Terdapat carta visualisasi yang serupa seperti dalam “Statistik umum”, dan perbezaannya adalah anda tidak menggunakan sumber dan tag, tetapi anda boleh melihat (dan mengumpulkan mengikut) jenis, peranti, vendor dan model.
Kategori visualisasi tambahan - pemantauan juga telah ditambahkan:
Ini ialah jadual harian yang dikemaskinikan tentang peranti serangan yang paling lazim dilihat mengikut serangan IP sumber unik yang diperhatikan (atau percubaan serangan yang dilihat, jika anda memilih pilihan statistik percubaan sambungan). Sepertimana semua set data yang dipaparkan dalam kategori ini, maklumat ini diperoleh daripada rangkaian sensor honeypot kami. Data ini dikumpulkan mengikut jenis serangan yang diperhatikan, vendor dan model (jika ada). Kami menentukan peranti serangan dengan menghubungkaitkan IP yang dilihat dengan hasil pengecapjarian imbasan peranti harian kami (lihat bahagian “statistik peranti IoT”).
Secara lalai, paparan menunjukkan peranti serangan paling lazim (mengikut sumber) yang dilihat menyerang (ini termasuk kes peranti tidak dapat dikenal pasti atau contohnya, hanya pasti vendor yang dikenal pasti). Anda boleh memilih untuk menapis mengikut negara atau kelompok yang tertentu atau memaparkan jadual anomali.