رهنما

رهنمایی عمومی

نمای کلی داشبورد

داشبورد Shadowserver احصائات سطح بالایی را ارائه می‌دهد که بازتاب‌دهنده مجموعه دیتای اصلی است که Shadowserver از طریق فعالیت‌های روزانه خود جمع‌آوری نموده و آنها را در بیش از 100 راپور روزانه به اشتراک می‌گذارد. این مجموعه دیتا امکان شناسایی سطح حمله، آسیب‌پذیری‌ها، پیکربندی‌های غلط، موارد غیر مصئون شبکه‌ها و همچنان مشاهدات مربوط به حملات را فراهم می‌کند. دیتای مذکور که در قالب راپور‌ها به اشتراک گذاشته می‌شوند، شامل معلومات مفصل در سطح IP مربوط به یک شبکه یا حوزه جغرافیایی خاص هستند. داشبورد Shadowserver اجازه نمی‌دهد این سطح از جزئیات ارائه گردد. بلکه به جای آن احصائات سطح بالایی را ارائه می‌دهد که بازتاب‌دهنده این فعالیت‌ها است. این کار باعث می‌شود درکی از جدید‌ترین تهدیدات، آسیب‌پذیری‌ها و رویدادهای در حال ظهور به‌ دست آید و ضمن حفظ ناشناس بودن هریک از طرف‌های درگیر، آگاهی از موقعیت را برای تمام جامعه فراهم می‌کند.

منابع و تگ‌ها

ارائه دیتا بربنیاد منابع و تگ‌ها سازماندهی شده است. یک منبع، اساساً عبارت است از گروپ‌‌بندی دیتای دارای شکل یکسان. منابع اصلی عبارتند از: honeypot، population، scan، sinkhole. هم جمعیت و هم اسکن مجموعه دیتای مبتنی بر اسکن هستند و جمعیت تعداد نقاط پایانی قابل مشاهده بدون ارزیابی آسیب‌پذیری/امنیت است. پسوند 6 نشان‌دهنده دیتای IPv6 است (همه ورودی‌های فاقد پسوند به دیتای IPv4 اشاره دارد).

منابع می‌توانند تگ‌های مرتبط با خود را داشته باشند که معلومات بیشتری را در مورد دیتای ارائه شده فراهم می‌سازد. طرز مثال، تگ‌های scan انواع مختلف اسکن را شامل می‌شود (یعنی سرویس‌ها/پروتکل‌هایی که اسکن می‌شوند مانند telnet، ftp و rdp). تگ‌های sinkhole نشان‌دهنده فامیل‌های سافتویر مخرب واقعی است که به یک سینک‌هول متصل می‌شوند (یعنی میزبان‌هایی که توسط یک نوع فامیل سافتویر مخرب آلوده شده‌اند مانند adload، andromeda و necurs).

تگ‌ها جزئیات بیشتری در مورد دیتای ارائه شده فراهم می‌آورند.

ضمن این، گروپ‌‌بندی‌های منبع بیشتری را نیز برای بازتاب دادن بهتر مشاهدات در مورد میزبان‌های آسیب‌پذیر یا در معرض خطر معرفی می‌کنیم - طرز مثال، http_vulnerable یا compromised_website. آنها معمولاً دارای تگ‌هایی هستند که آسیب‌پذیری‌های مختص به CVE، فروشندگان یا محصولات آسیب‌دیده یا معلوماتی را درباره دروازه های پشتی، پوسته‌های وب یا ایمپلنت‌های مشاهده شده نشان می‌دهند. یک مثال از http_vulnerable عبارت است از: citrix یا cve-2023-3519.

در خاتمه ما با اضافه کردن شناسایی‌های بیشتر به مجموعه دیتای خود در نهایت تگ‌های بیشتری را ایجاد می‌کنیم. این به معنی آن است که ممکن است کتگوری‌های منبع تازه‌ای ظاهر شوند که امکان انتخاب آنها وجود دارد. طرز مثال، اگرچه snmp تگی است که در منبع scan وجود دارد، به‌عنوان منبعی جداگانه نیز نشان داده می‌شود. این موضوع به ما امکان می‌دهد نتایج اسکن snmp مفصل‌تری را ارائه دهیم که امکان مشاهده نتایج اسکن snmp خاص مرتبط با آسیب‌پذیری مانند cve-2017-6736 را فراهم می‌کند.

لینک‌های سریع به کتگوری‌های دیتا: نوار پیمایش چپ

مجموعه دیتای ارائه شده از طریق روش‌های مختلف جمع‌آوری بزرگ‌مقیاس از جمله سینک‌هول کردن، اسکن کردن و هانی‌پات‌ها جمع‌آوری می‌شوند. این کتگوری‌های اصلی مجموعه دیتا در نوار پیمایش چپ به اشتراک گذاشته شده‌اند و هر نوع دسته‌بندی با نماد متفاوتی نشان داده می‌شود.

هدف از این کار فراهم کردن امکان رفتن سریع‌تر به سراغ کتگوری‌های منبع خاص است. طرز مثال:

  • سینک‌هول - نمایی کلی از مجموعه دیتای گروپ‌‌بندی شده بربنیاد منبع sinkhole را ارائه می‌دهد. بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، نتیجه سینک‌هول خاصی را مشاهده نمایید.
  • اسکن‌ها - نمایی کلی از مجموعه دیتای گروپ‌‌بندی‌شده بربنیاد منبع scan را ارائه می‌دهد (این دسته‌بندی شامل نتایج اسکن برای سرویس‌هایی است که نوعی از مشکلات امنیتی با آنها مرتبط است، شما همچنان می‌توانید بجای آن با انتخاب منبع population، اسکن جمعیت را مشاهده نمایید). بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، نتیجه اسکن خاصی را مشاهده نمایید.
  • هانی‌پات‌ها - نمایی کلی از مجموعه دیتای گروپ‌‌بندی شده بربنیاد منبع honeypot را ارائه می‌دهد. بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، نتیجه هانی‌پات خاصی را مشاهده نمایید.
  • DDoS - نمایی کلی از مجموعه دیتای گروپ‌‌بندی شده بربنیاد منبع honeypot_ddos_amp را ارائه می‌دهد. آنها حملات DDoS تقویت شده هستند که بربنیاد اهداف منحصربه‌فرد در یک کشور/منطقه خاص مشاهده می‌شوند. بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، روش تقویت خاصی را مشاهده نمایید.
  • ICS - نمایی کلی از مجموعه دیتای گروپ‌‌بندی شده بربنیاد منبع ics را ارائه می‌دهد (که نتایج اسکن پروتکل‌های بومی سیستم‌های کنترول صنعتی هستند). بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، پروتکل‌های بومی مورد استفاده را مشاهده نمایید.
  • CVEهای وب - نمایی کلی از مجموعه دیتای گروپ‌‌بندی شده بربنیاد http_vulnerable و exchange را ارائه می‌دهد. آنها پروگرام‌های تحت وب آسیب‌پذیر هستند که در اسکن‌های ما معمولاً به‌عنوان CVE شناسایی می‌شوند. بعداً می‌توانید با انتخاب یک تگ یا گروپی از تگ‌ها، CVE‌ها یا محصولات آلوده را مشاهده نمایید.

مجموعه دیتا را می‌توان بربنیاد کشور یا گروپ‌‌بندی کشورها، مناطق و قاره‌ها تفکیک کرد.

هر مجموعه دیتا همچنان در بخش «درباره این دیتا» تشریج شده است.

لطفاً متوجه باشید که غیر از موارد اشاره شده مجموعه دیتای دیگری نیز در دسترس است. طرز مثال، منبع beacon به شما امکان می‌دهد C2های فریمورک بعد از سوءاستفاده را که در اسکن‌هایمان می‌بینیم، چک کنید و منبع compromised_website به شما امکان می‌دهد نقاط پایانی وب غیر مصئون را که در اسکن‌های ما مشاهده می‌شود بررسی نمایید.

نوار پیمایش بالا

نوار پیمایش بالا گزینه‌های نمایش مختلف را برای ارائه دیتا و همچنان برای طرز نمایش مجموعه دیتای شناسایی دستگاه‌ها و مشاهده حمله قابل ممکن می‌سازد.

احصائات عمومی

احصائات عمومی شامل توانایی مصورسازی هر منبع و تگ با انتخاب موارد ذیل است:

  • نقشه جهان - یک نمایشگر نقشه جهان است که منابع و تگ‌های انتخاب شده را نشان می‌دهد. قابلیت‌های اضافی عبارتند از: امکان تغییر نما برای نشان دادن متداول‌ترین تگ‌ها برای هر کشور در بدل هر منبع، نورمال کردن دیتا بربنیاد جمعیت، تولید ناخالص داخلی، اتصال مستفیدان و غیره. شما همچنان می‌توانید نشانگرهایی را برای نمایش مقادیر مربوط به هر کشور بر روی نقشه انتخاب نمایید.
  • نقشه منطقه - نمای نقشه در سطح کشور و تقسیم کشورها به مناطق و استان‌ها.
  • نقشه مقایسه - نقشه مقایسه دو کشور.
  • سری‌های زمانی - ترسیمه‌ی که ترکیب منبع و تگ را در طول زمان نشان می‌دهد. متوجه باشید که گروپ‌‌بندی دیتا به اشکال مختلف (نه فقط بربنیاد کشور) قابل ممکن است.
  • مصورسازی - گزینه‌های مختلفی را برای بررسی دقیق مجموعه دیتا، از جمله اوسط‌های مقادیر در طول زمان، ارائه می‌دهد. امکان نمایش دیتا در قالب جداول، ترسیمه‌های میله‌ای، ترسیمه‌های حبابی و غیره را فراهم می‌سازد.

احصائات دستگاه‌های انترنت اشیا (احصائات شناسایی دستگاه‌ها)

این مجموعه دیتا و مصورسازی‌های مرتبط، تصویری کلی و روزانه از نقاط پایانی قابل مشاهده گروپ‌‌بندی شده بربنیاد فروشندگان قابل مشاهده و محصولات آنها را ارائه می‌کنند که از طریق اسکن‌های ما شناسایی شده‌اند. دیتا بربنیاد فروشنده، مدل و نوع دستگاه دسته‌بندی می‌شوند. آنها از طریق روش‌های مختلف شناسایی می‌شوند، از جمله: محتوای صفحه وب، سرتفیکیت‌‌های SSL/TLS، بنرهای نمایش داده شده و غیره. مجموعه دیتا فقط شامل دیتای جمعیت هستند یعنی هیچ‌کدام ارزیابی از آسیب‌پذیری‌های مرتبط با نقاط پایانی قابل مشاهده صورت نمی‌گیرد (برای مشاهده موارد مذکور، می‌توانید منابعی مانند http_vulnerable را در بخش «احصائات عمومی» انتخاب نمایید).

در بخش «احصائات عمومی» ترسیمه‌های مصورسازی مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگ‌ها می‌توانید فروشندگان، مدل‌ها و انواع دستگاه را مشاهده (و گروپ‌‌بندی) کنید.

احصائات حملات: آسیب‌پذیری‌ها

این مجموعه دیتا و مصورسازی‌های مرتبط، نمایی کلی و روزانه از حملاتی که توسط شبکه سنسور هانی‌پات ما مشاهده می‌شوند را با تمرکز بر آسیب‌پذیری‌های مورد سوءاستفاده ارائه می‌دهند. این موارد عبارتند از توانایی مشاهده محصولاتی که اغلب مورد حمله قرار می‌گیرند و بررسی نحوه حمله به آنها (یعنی با کدام آسیب‌پذیری مورد سوءاستفاده، که ممکن است شامل CVE خاصی باشد که مورد سوءاستفاده قرار می‌گیرد). همچنان می‌توانید ترسیمه‌ها را بربنیاد منبع حملات و مقصدها مشاهده نمایید.

در بخش «احصائات عمومی» ترسیمه‌های مصورسازی مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگ‌ها می‌توانید فروشنده، آسیب‌پذیری و همچنان منبع و مقصد حملات را مشاهده (و گروپ‌‌بندی) کنید.

یک دسته‌بندی مصورسازی اضافی - یعنی نظارت نیز اضافه شده است:

این دسته‌بندی، جدول روزانه اپدیت‌ شده رایج‌ترین آسیب‌پذیری‌های مورد سوءاستفاده است که بربنیاد IPهای منبع منحصربه‌فرد مهاجم مشاهده شده گروپ‌‌بندی شده‌اند (یا اگر گزینه احصائات دفعات سعی برای اتصال را انتخاب نمایید، بربنیاد دفعات سعی برای حمله را نشان می‌دهد). منبع دیتا، شبکه سنسورهای هانی‌پات ما است. دیتا بربنیاد آسیب‌پذیری‌های مورد سوءاستفاده گروپ‌‌بندی می‌شوند. این دیتا همچنان شامل موارد ذیل است: نگاشت‌های آسیب‌پذیری‌های شناخته شده CISA (از جمله اینکه آیا مشخص است که توسط یک گروپ‌ سافتویر باجگیر مورد سوءاستفاده قرار می‌گیرند یا خیر) و همچنان اینکه آیا حمله بجای پروگرام سرور، علیه دستگاه انترنت اشیا صورت می‌گیرد یا خیر.

بطور پیش‌فرض، رایج‌ترین آسیب‌پذیری‌های مورد سوءاستفاده در سراسر جهان را نشان می‌دهد، اما می‌توانید بجای آن دیتا را بربنیاد کشور یا گروپ‌‌بندی خاصی فلتر کرده یا یک جدول ناهنجاری را نمایش دهید.

احصائات حملات: دستگاه‌ها

این مجموعه دیتا و مصورسازی‌های مرتبط نمایی کلی و روزانه را از انواع دستگاه‌های مهاجم که توسط شبکه سنسور هانی‌پات ما مشاهده می‌شود، ارائه می‌دهند. انگشت‌نگاری این دستگاه‌ها در طول اسکن‌های روزانه ما صورت می‌گیرد. مجموعه دیتا امکان ردیابی انواع حمله، فروشندگان دستگاه یا مدل‌های خاص را فراهم می‌کنند و می‌توانند بربنیاد کشور فلتر شوند.

در بخش «احصائات عمومی» ترسیمه‌های مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگ‌ها می‌توانید نوع حمله، فروشنده دستگاه یا مدل را مشاهده (و گروپ‌‌بندی) کنید.

یک دسته‌بندی مصورسازی اضافی - یعنی نظارت نیز اضافه شده است:

این دسته‌بندی، جدول روزانه اپدیت‌ شده رایج‌ترین دستگاه‌های مهاجم است که بربنیاد IPهای منبع منحصربه‌فرد مهاجم مشاهده شده گروپ‌‌بندی شده‌اند (یا اگر گزینه احصائات دفعات سعی برای اتصال را انتخاب نمایید، بربنیاد دفعات سعی برای حمله را نشان می‌دهد). منبع این دیتا، همانند تمام مجموعه دیتای نمایش داده شده در این دسته‌بندی، شبکه سنسورهای هانی‌پات ما است. این دیتا بربنیاد نوع حمله مشاهده شده، فروشنده و مدل (در صورت امکان) گروپ‌‌بندی می‌شود. ما دستگاه مهاجم را بربنیاد همبستگی IP‌های مشاهده شده با نتایج انگشت‌نگاری روزانه اسکن دستگاه خود تعیین می‌کنیم (به بخش «احصائات دستگاه‌های انترنت اشیا» مراجعه نمایید).

بطور پیش‌فرض، متداول‌ترین دستگاه‌های مهاجم را که حمله می‌کنند (بربنیاد منبع) نشان می‌دهد (و همچنان شامل مواردی است که نمی‌توانیم فقط یک دستگاه را شناسایی نموده یا طرز مثال، فقط یک فروشنده را شناسایی کنیم). می‌توانید انتخاب نمایید که دیتا را بربنیاد کشور یا گروپ‌‌بندی خاصی فلتر کرده یا درعوض یک جدول ناهنجاری را نمایش دهید.

بودیجه توسعه داشبورد Shadowserver توسط UK FCDO تمویل شد. بودیجه احصائات انگشت‌نگاری دستگاه انترنت اشیا و احصائات حملات هانی‌پات مشترکاً توسط مرکز اتصال اروپا وابسته به اتحادیه اروپا (پروژه EU CEF VARIoT) تمویل شد.

می‌خواهیم از تمام شرکای خود تشکر کنیم که لطف کردند و دیتای مورد استفاده در داشبورد Shadowserver را ارائه دادند از جمله (بربنیاد حروف الفبا) APNIC Community Feeds، Bitsight، CISPA، if-is.net، Kryptos Logic، SecurityScorecard، پوهنتون ملی یوکوهاما و همه کسانی که ترجیح دادند از آنها نامی برده نشود.

Shadowserver از کوکی‌ها برای جمع‌آوری و تحلیل دیتا استفاده می‌کند. این موضوع به ما امکان می‌دهد طریقه استفاده از سایت را بسنجیم و تجربه مستفیدان خود را بهبود ببخشیم. برای بدست آوردن معلومات بیشتر درباره کوکی‌ها و طرز استفاده Shadowserver از آنها، به سیاست حفظ حریم شخصی ما مراجعه نمایید. ما برای استفاده از کوکی‌ها به این شکل در دستگاهتان به رضایت شما ضرورت داریم.