Dashbordoversikt

Shadowserver Dashboard presenterer statistikk på høyt nivå som gjenspeiler de viktigste datasettene som Shadowserver samler inn og deler gjennom sine daglige aktiviteter i over 100 daglige rapporter. Datasettene gjør det mulig å identifisere den eksponerte angrepsoverflaten, sårbarheter, feilkonfigurasjoner, kompromittering av nettverk samt observasjoner av angrep. Dataene, delt i form av rapporter, inneholder detaljert IP-nivåinformasjon om et bestemt nettverk eller område. Shadowserver Dashboard tillater ikke dette granularitetsnivået. I stedet presenterer den statistikk på høyt nivå som gjenspeiler disse aktivitetene. Dette gir innsikt i de siste nye truslene, sårbarhetene, hendelsene og gir situasjonsbevissthet til det bredere samfunnet samtidig som anonymiteten til alle involverte parter bevares.

Kilder og tagger

Datapresentasjonen er organisert rundt kilder og tagger. En kilde er i hovedsak en datagruppering av en eller annen form. De grunnleggende kildene er honeypot, population, scan, sinkhole. Både populasjon og skanning er skanningsbaserte datasett med populasjon som en eksponeringsendepunkttelling uten noen sårbarhets-/sikkerhetsvurdering. Et 6-suffiks representerer IPv6-data (alle oppføringer uten suffikset refererer til IPv4-data).

Kilder kan ha tagger knyttet til seg som gir ekstra kontekst for dataene som presenteres. For eksempel vil tagger for scan inkludere de faktiske forskjellige skannetypene (dvs. tjenester/protokoller som skannes som telnet, ftp og rdp). Tagger for sinkhole vil gjenspeile de faktiske skadevarefamiliene som kobles til et sinkhole (dvs. verter infisert av en skadevarefamilietype som adload, andromeda og necurs).

Tagger gir ytterligere innsikt i dataene som presenteres.

I tillegg introduserer vi også flere kildegrupperinger for bedre å reflektere observasjoner på sårbare eller kompromitterte verter – for eksempel http_vulnerable eller compromised_website. Disse vil typisk inneholde tagger som gjenspeiler spesifikke CVE-sårbarheter, leverandører eller produkter som er berørt eller informasjon om bakdører, webshell eller implantater som er sett. Et eksempel på http_vulnerable vil være citrix eller cve-2023-3519.

Til slutt når vi legger til flere deteksjoner til datasettene våre, ender vi opp med flere tagger. Det betyr nye kildekategorier å velge mellom. For eksempel, selv om snmp er en tag som finnes på scan, er den også omtalt som en kilde. Dette lar oss presentere mer granulære snmp-skanningsresultater som gjør det mulig å se spesifikke snmp-skanningsresultater assosiert med en sårbarhet som cve-2017-6736.

Hurtigkoblinger til datakategorier: Venstre navigasjonslinje

Datasettene som presenteres, samles inn gjennom ulike storskala innsamlingsmetoder, inkludert sinkholing, skanning og honeypots. Disse hovedkategoriene av datasettene deles på venstre navigasjonslinje, med hver type kategori symbolisert med et eget ikon.

Målet er å muliggjøre raskere dykk i bestemte kilde-kategorier. For eksempel:

  • Sinkholes - gir en oversikt over datasett gruppert etter kilde sinkhole. Du kan deretter se et bestemt sinkholeresultat ved å velge en tag eller gruppe med tagger.
  • Skanninger - gir en oversikt over datasett gruppert etter kilde scan (denne kategorien inneholder skanneresultater for tjenester som har et slags sikkerhetsproblem knyttet til seg, du kan også se populasjonsskanningresultater ved å velge kilde population i stedet). Du kan deretter se et bestemt skanneresultat ved å velge en tag eller gruppe med tagger.
  • Honeypots – gir en oversikt over datasett gruppert etter kilde honeypot. Du kan deretter se et bestemt honeypot-resultat ved å velge en tag eller gruppe med tagger.
  • DDoS – gir en oversikt over datasett gruppert etter kilde honeypot_ddos_amp. Dette er forsterknings-DDoS-angrep sett av unike mål i et bestemt land/region. Du kan deretter se en bestemt forsterkningsmetode som brukes ved å velge en tag eller gruppe med tagger.
  • ICS – gir en oversikt over datasett gruppert etter kilde ics (som er skanneresultater av opprinnelige Industrial Control Systems-protokoller). Du kan deretter se de opprinnelige protokollene som brukes ved å velge en tag eller gruppe med tagger.
  • Web CVEer – gir en oversikt over datasett gruppert etter http_vulnerable og exchange. Dette er sårbare nettapplikasjoner identifisert i skanningene våre, vanligvis av CVE. Du kan se CVE-er eller berørte produkter ved å velge en tag eller gruppe med tagger.

Datasettene kan brytes ned etter land- eller landgrupperinger, regioner og kontinenter.

Hvert datasett er også beskrevet i «Om disse dataene».

Vær oppmerksom på at det er flere tilgjengelige datasett enn de som er uthevet. Kilde beacon vil for eksempel tillate deg å utforske rammeverk-C2-er etter utnyttelse som vi ser i skanningene våre, og kilden compromised_website lar deg utforske kompromitterte webendepunkter som er sett i skanningene våre.

Øvre navigasjonslinje

Den øvre navigasjonslinjen gir mulighet for ulike visualiseringsalternativer for datapresentasjon, samt for visualisering av enhetsidentifikasjon og angrepsobservasjonsdatasett.

Generell statistikk

Generell statistikk inkluderer muligheten til å visualisere enhver kilde og tag ved å velge:

  • Verdenskart – et verdenskart som viser utvalgte kilder og tagger. Ekstra funksjoner inkluderer: muligheten til å bytte skjerm for å vise den vanligste taggen per land per kilde, normalisering etter befolkning, BNP, koble til brukere osv. Du kan også velge markører på kartet for å vise verdier per land.
  • Regionkart – en kartvisning på landnivå med land delt inn i regioner og provinser.
  • Sammenligningskart – et sammenligningskart over to land.
  • Tidsserie – et diagram som viser kombinasjoner av kilde og tag over tid. Merk at det tillater ulike former for datagrupperinger (ikke bare etter land).
  • Visualisering – tilbyr ulike alternativer for å bore ned i datasettene, inkludert gjennomsnittet av verdier over tid. Gjør det mulig å vise data i form av tabeller, søylediagrammer, boblediagrammer med mer.

IoT-enhetsstatistikk (enhetsidentifikasjonsstatistikk)

Dette datasettet og tilhørende visualiseringer gir et daglig øyeblikksbilde av eksponerte endepunkter gruppert etter eksponerte leverandører og deres produkter som er identifisert gjennom skanningene våre. Data er kategorisert etter leverandør, modell og enhetstype. Disse identifiseres på ulike måter, inkludert innhold på nettsider, SSL/TLS-sertifikater, bannere som vises osv. Datasettene inneholder kun populasjonsdata, dvs. at det gjøres ingen vurdering av eventuelle sårbarheter knyttet til de eksponerte endepunktene (for å finne disse velger du kilder som for eksempel http_vulnerable under «Generell statistikk» i stedet).

Lignende visualiseringsdiagrammer som i «Generell statistikk» finnes, med den forskjellen at i stedet for å bruke kilder og tagger kan du se (og gruppere etter) leverandører, modeller og enhetstyper i stedet.

Angrepsstatistikk: Sårbarheter

Dette datasettet og tilhørende visualiseringer gir et daglig øyeblikksbilde av angrep sett av vårt honeypot-sensornettverk, med fokus på sårbarheter som brukes til utnyttelse. Disse inkluderer muligheten til å se produkter som er oftest angrepet og å utforske hvordan de blir angrepet (dvs. av hvilken utnyttet sårbarhet, som kan inkludere bestemte CVE som utnyttes). Du kan også se diagrammer etter kilde til angrepene og destinasjonene.

Lignende visualiseringsdiagrammer som i «Generell statistikk» finnes, med den forskjellen at i stedet for å bruke kilder og tagger kan du se (og gruppere etter) leverandør, sårbarhet samt kilde og mål for angrepene.

En ekstra visualiseringskategori, Overvåking, er også lagt til:

Dette er en oppdatert daglig tabell over de vanligst utnyttede sårbarhetene gruppert etter unike kilde-IP-er som er observert angripende (eller angrepsforsøk sett, hvis du velger statistikkalternativet for tilkoblingsforsøk). Data er hentet fra vårt honeypot-sensornettverk. Dataene er gruppert etter utnyttede sårbarheter. Det inkluderer også CISA-kartlegging av kjente utnyttede sårbarheter (inkludert om det er kjent for å bli utnyttet av en løsepengegruppe) samt om angrepet er mot en IoT-enhet i stedet for en serverapplikasjon.

Som standard vises de vanligste sårbarhetene som utnyttes for hele verden, men du kan også filtrere etter bestemt land eller gruppering eller vise en anomalitabell i stedet.

Angrepsstatistikk: Enheter

Dette datasettet og tilhørende visualiseringer gir et daglig øyeblikksbilde av typene angripende enheter sett av vårt honeypot-sensornettverk. Fingeravtrykk av disse enhetene gjøres gjennom våre daglige skanninger. Datasettene tillater sporing av bestemte angrepstyper, enhetsleverandører eller modeller og kan filtreres etter land.

Lignende diagrammer som i «Generell statistikk» finnes, med den forskjellen at du i stedet for å bruke kilder og tagger kan se (og gruppere etter) angrepstype, enhetsleverandør eller modell i stedet.

En ekstra visualiseringskategori, Overvåking, er også lagt til:

Dette er en oppdatert daglig tabell over de vanligste angripende enhetene sett av unike kilde-IP-er observert angripende (eller angrepsforsøk sett, hvis du velger statistikkalternativet for tilkoblingsforsøk). Som i alle datasett som vises i denne kategorien, er det hentet fra vårt honeypot-sensornettverk. Den er gruppert etter angrepstype sett, leverandør og modell (hvis tilgjengelig). Vi fastslår den angripende enheten ved å korrelere IP-er sett med resultatene av vår daglige enhetsskanning av fingeravtrykk (se delen «IoT-enhetsstatistikk»).

Som standard viser skjermen de vanligste angripende enhetene (etter kilde) sett angripende (dette inkluderer tilfeller der vi ikke kan identifisere en enhet eller for eksempel bare identifisere en leverandør). Du kan velge å filtrere etter bestemt land eller gruppering eller vise en anomalitabell i stedet.

Utviklingen av Shadowserver Dashboard ble finansiert av UK FCDO. IoT-enhetsfingeravtrykkstatistikk og honeypot-angrepsstatistikk medfinansiert av Connecting Europe Facility of the European Union (EU CEF VARIoT-prosjektet).

Vi vil gjerne takke alle våre partnere som bidrar til data som brukes i Shadowserver Dashboard, inkludert (alfabetisk) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University og alle de som valgte å være anonyme.

Shadowserver bruker informasjonskapsler til å samle analyser. Dette lar oss måle hvordan siden brukes og forbedre opplevelsen for brukerne våre. For mer informasjon om informasjonskapsler og hvordan Shadowserver bruker dem, se våre personvernregler. Vi trenger ditt samtykke for å bruke informasjonskapsler på denne måten på enheten din.