Przegląd pulpitu nawigacyjnego

Pulpit nawigacyjny Shadowserver prezentuje statystyki wysokiego poziomu, które odzwierciedlają główne zbiory danych, gromadzone i udostępniane przez Shadowserver w ramach codziennej działalności w ponad 100 codziennych raportach. Zbiory danych pozwalają na identyfikację narażonych powierzchni ataku, luk, błędnych konfiguracji i zainfekowanych sieci, a także na obserwacje ataków. Dane udostępniane w formie raportów zawierają szczegółowe informacje na poziomie IP dotyczące konkretnej sieci lub obszaru. Pulpit nawigacyjny Shadowserver nie pozwala na taki poziom szczegółowości. Zamiast tego przedstawia statystyki wysokiego poziomu, które odzwierciedlają te działania. Umożliwia to wgląd w najnowsze zagrożenia, luki i incydenty, zapewniając świadomość sytuacyjną szerszej społeczności, a jednocześnie zachowując anonimowość wszystkich zaangażowanych stron.

Źródła i tagi

Prezentacja danych jest zorganizowana w oparciu o źródła i tagi. Źródło to zasadniczo zbiór danych w jakiejś formie. Podstawowe źródła to honeypot, population, scan, sinkhole. Zarówno populacja, jak i skan to zbiory danych oparte na skanowaniu, przy czym populacja jest liczbą punktów końcowych narażenia bez oceny luk/bezpieczeństwa. Sufiks 6 reprezentuje dane IPv6 (wszystkie pozycje bez sufiksu odnoszą się do danych IPv4).

Źródła mogą mieć powiązane z nimi tagi, które zapewniają dodatkowy kontekst dla prezentowanych danych. Na przykład tagi dla scan będą obejmować różne typy skanowania (tj. skanowane usługi/protokoły, takie jak telnet, ftp i rdp). Tagi dla sinkhole odzwierciedlają rzeczywiste rodziny złośliwego oprogramowania łączące się z sinkhole (tj. hosty zainfekowane przez typ rodziny złośliwego oprogramowania taki jak adload, andromeda i necurs).

Tagi zapewniają dodatkowe informacje o prezentowanych danych.

Wprowadzamy także dodatkowe grupowania źródeł, aby lepiej odzwierciedlać obserwacje dotyczące hostów podatnych na ataki lub zainfekowanych – na przykład http_vulnerable lub compromised_website. Zazwyczaj zawierają one tagi odzwierciedlające konkretne luki CVE, dotkniętych dostawców lub produkty, bądź informacje o zaobserwowanych backdoorach, webshellach lub implantach. Przykładem http_vulnerable może być citrix lub cve-2023-3519.

Im więcej wykrytych zdarzeń dodajemy do naszych zbiorów danych, tym więcej mamy tagów. Oznacza to, że mogą pojawić się nowe kategorie źródeł do wyboru. Na przykład pomimo że snmp jest tagiem obecnym w źródle scan, jest on również prezentowany jako źródło. Dzięki temu możemy przedstawić bardziej szczegółowe wyniki skanowania snmp, które umożliwiają przeglądanie konkretnych wyników skanowania snmp powiązanych z luką taką jak cve-2017-6736.

Szybkie linki do kategorii danych: Lewy pasek nawigacyjny

Przedstawiane zbiory danych są gromadzone za pomocą różnych metod gromadzenia na dużą skalę, takich jak sinkholing, skanowanie i honeypoty. Te główne kategorie zbiorów danych są dostępne na lewym pasku nawigacyjnym, a każdy typ kategorii jest oznaczony inną ikoną.

Celem jest umożliwienie szybszego przeglądania poszczególnych kategorii źródeł. Na przykład:

  • Sinkhole – zawiera przegląd zbiorów danych pogrupowanych według źródła sinkhole. Następnie można wybrać konkretny wynik sinkhole, wybierając tag lub grupę tagów.
  • Skany – zawiera przegląd zbiorów danych pogrupowanych według źródła scan (ta kategoria zawiera wyniki skanowania usług, z którymi powiązane są jakieś problemy związane z bezpieczeństwem; można także wyświetlić wyniki skanowania populacji, wybierając zamiast tego źródło population). Następnie można wybrać konkretny wynik skanowania, wybierając tag lub grupę tagów.
  • Honeypoty – zawiera przegląd zbiorów danych pogrupowanych według źródła honeypot. Następnie można wybrać konkretny wynik honeypota, wybierając tag lub grupę tagów.
  • DDoS – zawiera przegląd zbiorów danych pogrupowanych według źródła honeypot_ddos_amp. Są to wzmocnione ataki DDoS skierowane na unikalne cele w określonym kraju/regionie. Następnie można wybrać konkretną metodę wzmacniania, wybierając tag lub grupę tagów.
  • ICS – zawiera przegląd zbiorów danych pogrupowanych według źródła ics (są to wyniki skanowania natywnych protokołów Industrial Control Systems). Następnie można wybrać użyte natywne protokoły, wybierając tag lub grupę tagów.
  • Web CVE – zawiera przegląd zbiorów danych pogrupowanych według http_vulnerable i exchange. Są to podatne na ataki aplikacje internetowe, identyfikowane podczas naszych skanów, zazwyczaj przez CVE. CVE lub dotknięte produkty można przeglądać, wybierając tag lub grupę tagów.

Zbiory danych można podzielić według krajów lub grupowań krajów, regionów i kontynentów.

Każdy zbiór danych jest również opisany w części „Informacje o tych danych”.

Należy pamiętać, że oprócz wyróżnionych dostępne są również inne zbiory danych. Na przykład źródło beacon umożliwia przeglądanie serwerów C2 osadzonych we frameworkach powłamaniowych, widocznych w naszych skanach, a źródło compromised_website umożliwia przeglądanie zaatakowanych internetowych punktów końcowych widocznych w naszych skanach.

Górny pasek nawigacyjny

W górnym pasku nawigacyjnym znajdują się różne opcje wizualizacji prezentacji danych, a także wizualizacji zbiorów danych dotyczących identyfikacji urządzeń i obserwacji ataków.

Statystyki ogólne

Statystyki ogólne obejmują możliwość wizualizacji dowolnego źródła i tagu poprzez wybranie:

  • Mapa świata – widok mapy świata pokazujący wybrane źródła i tagi. Dodatkowe funkcje obejmują możliwość przełączania wyświetlania, aby pokazać najpopularniejsze tagi w danym kraju na źródło, normalizację według populacji, PKB, łączenie użytkowników itp. Można także wybierać znaczniki na mapie, aby wyświetlić wartości według kraju.
  • Mapa regionu – mapa na poziomie kraju z krajami podzielonymi na regiony i jednostki administracyjne.
  • Mapa porównawcza – mapa porównująca dwa kraje.
  • Szereg czasowy – wykres przedstawiający kombinacje źródła i tagu na przestrzeni czasu. Umożliwia różne formy grupowania danych (nie tylko według kraju).
  • Wizualizacja – oferuje różne opcje eksploracji zbiorów danych, w tym średnie wartości w okresie czasu. Umożliwia wyświetlanie danych w formie tabel, wykresów słupkowych, wykresów bąbelkowych itp.

Statystyki urządzeń IoT (statystyki identyfikacji urządzeń)

Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę narażonych punktów końcowych pogrupowanych według narażonych dostawców i ich produktów, zidentyfikowanych podczas naszych skanów. Dane są kategoryzowane według dostawcy, modelu i typu urządzenia. Są one identyfikowane na różne sposoby, w tym za pomocą zawartości stron internetowych, certyfikatów SSL/TLS, wyświetlanych banerów itp. Zbiory danych zawierają wyłącznie dane dotyczące populacji, tj. nie ocenia się żadnych luk związanych z narażonymi punktami końcowymi (aby je znaleźć, należy wybrać źródła takie jak na przykład http_vulnerable w sekcji „Statystyki ogólne”).

Wykresy wizualizacyjne są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) dostawców, modeli i typów urządzeń.

Statystyki ataków: Luki

Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę ataków obserwowanych przez naszą sieć czujników honeypot, ze szczególnym uwzględnieniem luk wykorzystywanych do włamania. Obejmują one możliwość przeglądania najczęściej atakowanych produktów i sprawdzania, w jaki sposób są one atakowane (tj. która luka została wykorzystana, co może obejmować konkretny CVE). Można także przeglądać wykresy według źródeł i celów ataku.

Wykresy wizualizacyjne są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) dostawców, luk oraz źródeł i celów ataku.

Dodano także dodatkową kategorię wizualizacji – Monitoring:

Jest to codziennie aktualizowana tabela najczęściej wykorzystywanych luk, pogrupowanych według unikalnych źródłowych adresów IP, które zaobserwowano podczas dokonywania ataków (lub prób ataków, jeśli wybrano opcję statystyki prób połączeń). Dane pochodzą z naszej sieci czujników honeypot. Dane są pogrupowane według wykorzystanych luk. Obejmują również mapowania katalogu CISA Known Exploited Vulnerabilities (w tym informacje o tym, czy wiadomo, że są one wykorzystywane przez grupę ransomware), a także informacje o tym, czy atak dotyczy urządzenia IoT, a nie aplikacji serwera.

Domyślnie wyświetlacz pokazuje najczęstsze luki wykorzystywane na całym świecie, ale można także filtrować według konkretnego kraju lub grupowania lub wyświetlić tabelę anomalii.

Statystyki ataków: Urządzenia

Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę typów atakujących urządzeń obserwowanych przez naszą sieć czujników honeypot. Fingerprinting tych urządzeń odbywa się poprzez nasze codzienne skany. Zbiory danych umożliwiają śledzenie określonych typów ataków, dostawców lub modeli urządzeń, i można je filtrować według kraju.

Wykresy są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) typów ataku, dostawców urządzeń i modeli urządzeń.

Dodano także dodatkową kategorię wizualizacji – Monitoring:

Jest to codziennie aktualizowana tabela najczęściej atakujących urządzeń, pogrupowanych według unikalnych źródłowych adresów IP, które zaobserwowano podczas dokonywania ataków (lub prób ataków, jeśli wybrano opcję statystyki prób połączeń). Podobnie jak w przypadku wszystkich zbiorów danych wyświetlanych w tej kategorii, dane pochodzą z naszej sieci czujników honeypot. Są pogrupowane według typu zaobserwowanego ataku, dostawcy i modelu (jeśli takie informacje są dostępne). Określamy urządzenie atakujące, korelując obserwowane adresy IP z wynikami naszych codziennych skanów służących do fingerprintingu urządzeń (zob. sekcja „Statystyki urządzeń IoT”).

Domyślnie wyświetlacz pokazuje najczęstsze urządzenia atakujące (według źródła) obserwowane podczas dokonywania ataku (dotyczy to również przypadków, w których nie możemy zidentyfikować urządzenia, a jedynie dostawcę). Można także filtrować według konkretnego kraju lub grupowania lub wyświetlić tabelę anomalii.

Rozwój pulpitu nawigacyjnego Shadowserver został sfinansowany przez brytyjskie Biuro Spraw Zagranicznych, Wspólnoty Narodów i Rozwoju (FCDO). Statystyki identyfikacji urządzeń IoT poprzez fingerprinting i statystyki ataków honeypot są współfinansowane przez fundusz „Łącząc Europę” Unii Europejskiej (projekt VARIoT).

Chcielibyśmy podziękować wszystkim naszym partnerom, którzy wnoszą wkład w bazę danych obsługiwaną przez pulpit nawigacyjny Shadowserver, w tym (w kolejności alfabetycznej) kanałom społeczności APNIC, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Uniwersytetowi Narodowemu w Jokohamie oraz wszystkim, którzy zdecydowali się zachować anonimowość.

Shadowserver wykorzystuje pliki cookie do gromadzenia danych analitycznych. Pozwala nam to monitorować sposób korzystania z witryny i poprawiać komfort naszych użytkowników. Więcej informacji o plikach cookie i wykorzystywaniu ich przez Shadowserver można znaleźć w naszej polityce prywatności. Potrzebujemy Twojej zgody na wykorzystywanie plików cookies w ten sposób na Twoim urządzeniu.