Przegląd pulpitu nawigacyjnego
Pulpit nawigacyjny Shadowserver prezentuje statystyki wysokiego poziomu, które odzwierciedlają główne zbiory danych, gromadzone i udostępniane przez Shadowserver w ramach codziennej działalności w ponad 100 codziennych raportach. Zbiory danych pozwalają na identyfikację narażonych powierzchni ataku, luk, błędnych konfiguracji i zainfekowanych sieci, a także na obserwacje ataków. Dane udostępniane w formie raportów zawierają szczegółowe informacje na poziomie IP dotyczące konkretnej sieci lub obszaru. Pulpit nawigacyjny Shadowserver nie pozwala na taki poziom szczegółowości. Zamiast tego przedstawia statystyki wysokiego poziomu, które odzwierciedlają te działania. Umożliwia to wgląd w najnowsze zagrożenia, luki i incydenty, zapewniając świadomość sytuacyjną szerszej społeczności, a jednocześnie zachowując anonimowość wszystkich zaangażowanych stron.
Źródła i tagi
Prezentacja danych jest zorganizowana w oparciu o źródła i tagi. Źródło to zasadniczo zbiór danych w jakiejś formie. Podstawowe źródła to honeypot
, population
, scan
, sinkhole
. Zarówno populacja, jak i skan to zbiory danych oparte na skanowaniu, przy czym populacja jest liczbą punktów końcowych narażenia bez oceny luk/bezpieczeństwa. Sufiks 6
reprezentuje dane IPv6 (wszystkie pozycje bez sufiksu odnoszą się do danych IPv4).
Źródła mogą mieć powiązane z nimi tagi, które zapewniają dodatkowy kontekst dla prezentowanych danych. Na przykład tagi dla scan
będą obejmować różne typy skanowania (tj. skanowane usługi/protokoły, takie jak telnet
, ftp
i rdp
). Tagi dla sinkhole
odzwierciedlają rzeczywiste rodziny złośliwego oprogramowania łączące się z sinkhole (tj. hosty zainfekowane przez typ rodziny złośliwego oprogramowania taki jak adload
, andromeda
i necurs
).
Tagi zapewniają dodatkowe informacje o prezentowanych danych.
Wprowadzamy także dodatkowe grupowania źródeł, aby lepiej odzwierciedlać obserwacje dotyczące hostów podatnych na ataki lub zainfekowanych – na przykład http_vulnerable
lub compromised_website
. Zazwyczaj zawierają one tagi odzwierciedlające konkretne luki CVE, dotkniętych dostawców lub produkty, bądź informacje o zaobserwowanych backdoorach, webshellach lub implantach. Przykładem http_vulnerable
może być citrix
lub cve-2023-3519
.
Im więcej wykrytych zdarzeń dodajemy do naszych zbiorów danych, tym więcej mamy tagów. Oznacza to, że mogą pojawić się nowe kategorie źródeł do wyboru. Na przykład pomimo że snmp
jest tagiem obecnym w źródle scan
, jest on również prezentowany jako źródło. Dzięki temu możemy przedstawić bardziej szczegółowe wyniki skanowania snmp, które umożliwiają przeglądanie konkretnych wyników skanowania snmp powiązanych z luką taką jak cve-2017-6736
.
Szybkie linki do kategorii danych: Lewy pasek nawigacyjny
Przedstawiane zbiory danych są gromadzone za pomocą różnych metod gromadzenia na dużą skalę, takich jak sinkholing, skanowanie i honeypoty. Te główne kategorie zbiorów danych są dostępne na lewym pasku nawigacyjnym, a każdy typ kategorii jest oznaczony inną ikoną.
Celem jest umożliwienie szybszego przeglądania poszczególnych kategorii źródeł. Na przykład:
-
Sinkhole – zawiera przegląd zbiorów danych pogrupowanych według źródła
sinkhole
. Następnie można wybrać konkretny wynik sinkhole, wybierając tag lub grupę tagów. -
Skany – zawiera przegląd zbiorów danych pogrupowanych według źródła
scan
(ta kategoria zawiera wyniki skanowania usług, z którymi powiązane są jakieś problemy związane z bezpieczeństwem; można także wyświetlić wyniki skanowania populacji, wybierając zamiast tego źródłopopulation
). Następnie można wybrać konkretny wynik skanowania, wybierając tag lub grupę tagów. -
Honeypoty – zawiera przegląd zbiorów danych pogrupowanych według źródła
honeypot
. Następnie można wybrać konkretny wynik honeypota, wybierając tag lub grupę tagów. -
DDoS – zawiera przegląd zbiorów danych pogrupowanych według źródła
honeypot_ddos_amp
. Są to wzmocnione ataki DDoS skierowane na unikalne cele w określonym kraju/regionie. Następnie można wybrać konkretną metodę wzmacniania, wybierając tag lub grupę tagów. -
ICS – zawiera przegląd zbiorów danych pogrupowanych według źródła
ics
(są to wyniki skanowania natywnych protokołów Industrial Control Systems). Następnie można wybrać użyte natywne protokoły, wybierając tag lub grupę tagów. -
Web CVE – zawiera przegląd zbiorów danych pogrupowanych według
http_vulnerable
iexchange
. Są to podatne na ataki aplikacje internetowe, identyfikowane podczas naszych skanów, zazwyczaj przez CVE. CVE lub dotknięte produkty można przeglądać, wybierając tag lub grupę tagów.
Zbiory danych można podzielić według krajów lub grupowań krajów, regionów i kontynentów.
Każdy zbiór danych jest również opisany w części „Informacje o tych danych”.
Należy pamiętać, że oprócz wyróżnionych dostępne są również inne zbiory danych. Na przykład źródło beacon
umożliwia przeglądanie serwerów C2 osadzonych we frameworkach powłamaniowych, widocznych w naszych skanach, a źródło compromised_website
umożliwia przeglądanie zaatakowanych internetowych punktów końcowych widocznych w naszych skanach.
Górny pasek nawigacyjny
W górnym pasku nawigacyjnym znajdują się różne opcje wizualizacji prezentacji danych, a także wizualizacji zbiorów danych dotyczących identyfikacji urządzeń i obserwacji ataków.
Statystyki ogólne
Statystyki ogólne obejmują możliwość wizualizacji dowolnego źródła i tagu poprzez wybranie:
- Mapa świata – widok mapy świata pokazujący wybrane źródła i tagi. Dodatkowe funkcje obejmują możliwość przełączania wyświetlania, aby pokazać najpopularniejsze tagi w danym kraju na źródło, normalizację według populacji, PKB, łączenie użytkowników itp. Można także wybierać znaczniki na mapie, aby wyświetlić wartości według kraju.
- Mapa regionu – mapa na poziomie kraju z krajami podzielonymi na regiony i jednostki administracyjne.
- Mapa porównawcza – mapa porównująca dwa kraje.
- Szereg czasowy – wykres przedstawiający kombinacje źródła i tagu na przestrzeni czasu. Umożliwia różne formy grupowania danych (nie tylko według kraju).
- Wizualizacja – oferuje różne opcje eksploracji zbiorów danych, w tym średnie wartości w okresie czasu. Umożliwia wyświetlanie danych w formie tabel, wykresów słupkowych, wykresów bąbelkowych itp.
Statystyki urządzeń IoT (statystyki identyfikacji urządzeń)
Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę narażonych punktów końcowych pogrupowanych według narażonych dostawców i ich produktów, zidentyfikowanych podczas naszych skanów. Dane są kategoryzowane według dostawcy, modelu i typu urządzenia. Są one identyfikowane na różne sposoby, w tym za pomocą zawartości stron internetowych, certyfikatów SSL/TLS, wyświetlanych banerów itp. Zbiory danych zawierają wyłącznie dane dotyczące populacji, tj. nie ocenia się żadnych luk związanych z narażonymi punktami końcowymi (aby je znaleźć, należy wybrać źródła takie jak na przykład http_vulnerable
w sekcji „Statystyki ogólne”).
Wykresy wizualizacyjne są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) dostawców, modeli i typów urządzeń.
Statystyki ataków: Luki
Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę ataków obserwowanych przez naszą sieć czujników honeypot, ze szczególnym uwzględnieniem luk wykorzystywanych do włamania. Obejmują one możliwość przeglądania najczęściej atakowanych produktów i sprawdzania, w jaki sposób są one atakowane (tj. która luka została wykorzystana, co może obejmować konkretny CVE). Można także przeglądać wykresy według źródeł i celów ataku.
Wykresy wizualizacyjne są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) dostawców, luk oraz źródeł i celów ataku.
Dodano także dodatkową kategorię wizualizacji – Monitoring:
Jest to codziennie aktualizowana tabela najczęściej wykorzystywanych luk, pogrupowanych według unikalnych źródłowych adresów IP, które zaobserwowano podczas dokonywania ataków (lub prób ataków, jeśli wybrano opcję statystyki prób połączeń). Dane pochodzą z naszej sieci czujników honeypot. Dane są pogrupowane według wykorzystanych luk. Obejmują również mapowania katalogu CISA Known Exploited Vulnerabilities (w tym informacje o tym, czy wiadomo, że są one wykorzystywane przez grupę ransomware), a także informacje o tym, czy atak dotyczy urządzenia IoT, a nie aplikacji serwera.
Domyślnie wyświetlacz pokazuje najczęstsze luki wykorzystywane na całym świecie, ale można także filtrować według konkretnego kraju lub grupowania lub wyświetlić tabelę anomalii.
Statystyki ataków: Urządzenia
Ten zbiór danych i powiązane z nim wizualizacje zapewniają codzienną migawkę typów atakujących urządzeń obserwowanych przez naszą sieć czujników honeypot. Fingerprinting tych urządzeń odbywa się poprzez nasze codzienne skany. Zbiory danych umożliwiają śledzenie określonych typów ataków, dostawców lub modeli urządzeń, i można je filtrować według kraju.
Wykresy są podobne jak w „Statystykach ogólnych”, z tą różnicą, że zamiast korzystać ze źródeł i tagów, można przeglądać (i grupować według) typów ataku, dostawców urządzeń i modeli urządzeń.
Dodano także dodatkową kategorię wizualizacji – Monitoring:
Jest to codziennie aktualizowana tabela najczęściej atakujących urządzeń, pogrupowanych według unikalnych źródłowych adresów IP, które zaobserwowano podczas dokonywania ataków (lub prób ataków, jeśli wybrano opcję statystyki prób połączeń). Podobnie jak w przypadku wszystkich zbiorów danych wyświetlanych w tej kategorii, dane pochodzą z naszej sieci czujników honeypot. Są pogrupowane według typu zaobserwowanego ataku, dostawcy i modelu (jeśli takie informacje są dostępne). Określamy urządzenie atakujące, korelując obserwowane adresy IP z wynikami naszych codziennych skanów służących do fingerprintingu urządzeń (zob. sekcja „Statystyki urządzeń IoT”).
Domyślnie wyświetlacz pokazuje najczęstsze urządzenia atakujące (według źródła) obserwowane podczas dokonywania ataku (dotyczy to również przypadków, w których nie możemy zidentyfikować urządzenia, a jedynie dostawcę). Można także filtrować według konkretnego kraju lub grupowania lub wyświetlić tabelę anomalii.