نمای کلی داشبورد
داشبورد Shadowserver احصائات سطح بالایی را ارائه میدهد که بازتابدهنده مجموعه دیتای اصلی است که Shadowserver از طریق فعالیتهای روزانه خود جمعآوری نموده و آنها را در بیش از 100 راپور روزانه به اشتراک میگذارد. این مجموعه دیتا امکان شناسایی سطح حمله، آسیبپذیریها، پیکربندیهای غلط، موارد غیر مصئون شبکهها و همچنان مشاهدات مربوط به حملات را فراهم میکند. دیتای مذکور که در قالب راپورها به اشتراک گذاشته میشوند، شامل معلومات مفصل در سطح IP مربوط به یک شبکه یا حوزه جغرافیایی خاص هستند. داشبورد Shadowserver اجازه نمیدهد این سطح از جزئیات ارائه گردد. بلکه به جای آن احصائات سطح بالایی را ارائه میدهد که بازتابدهنده این فعالیتها است. این کار باعث میشود درکی از جدیدترین تهدیدات، آسیبپذیریها و رویدادهای در حال ظهور به دست آید و ضمن حفظ ناشناس بودن هریک از طرفهای درگیر، آگاهی از موقعیت را برای تمام جامعه فراهم میکند.
منابع و تگها
ارائه دیتا بربنیاد منابع و تگها سازماندهی شده است. یک منبع، اساساً عبارت است از گروپبندی دیتای دارای شکل یکسان. منابع اصلی عبارتند از: honeypot
، population
، scan
، sinkhole
. هم جمعیت و هم اسکن مجموعه دیتای مبتنی بر اسکن هستند و جمعیت تعداد نقاط پایانی قابل مشاهده بدون ارزیابی آسیبپذیری/امنیت است. پسوند 6
نشاندهنده دیتای IPv6 است (همه ورودیهای فاقد پسوند به دیتای IPv4 اشاره دارد).
منابع میتوانند تگهای مرتبط با خود را داشته باشند که معلومات بیشتری را در مورد دیتای ارائه شده فراهم میسازد. طرز مثال، تگهای scan
انواع مختلف اسکن را شامل میشود (یعنی سرویسها/پروتکلهایی که اسکن میشوند مانند telnet
، ftp
و rdp
). تگهای sinkhole
نشاندهنده فامیلهای سافتویر مخرب واقعی است که به یک سینکهول متصل میشوند (یعنی میزبانهایی که توسط یک نوع فامیل سافتویر مخرب آلوده شدهاند مانند adload
، andromeda
و necurs
).
تگها جزئیات بیشتری در مورد دیتای ارائه شده فراهم میآورند.
ضمن این، گروپبندیهای منبع بیشتری را نیز برای بازتاب دادن بهتر مشاهدات در مورد میزبانهای آسیبپذیر یا در معرض خطر معرفی میکنیم - طرز مثال، http_vulnerable
یا compromised_website
. آنها معمولاً دارای تگهایی هستند که آسیبپذیریهای مختص به CVE، فروشندگان یا محصولات آسیبدیده یا معلوماتی را درباره دروازه های پشتی، پوستههای وب یا ایمپلنتهای مشاهده شده نشان میدهند. یک مثال از http_vulnerable
عبارت است از: citrix
یا cve-2023-3519
.
در خاتمه ما با اضافه کردن شناساییهای بیشتر به مجموعه دیتای خود در نهایت تگهای بیشتری را ایجاد میکنیم. این به معنی آن است که ممکن است کتگوریهای منبع تازهای ظاهر شوند که امکان انتخاب آنها وجود دارد. طرز مثال، اگرچه snmp
تگی است که در منبع scan
وجود دارد، بهعنوان منبعی جداگانه نیز نشان داده میشود. این موضوع به ما امکان میدهد نتایج اسکن snmp مفصلتری را ارائه دهیم که امکان مشاهده نتایج اسکن snmp خاص مرتبط با آسیبپذیری مانند cve-2017-6736
را فراهم میکند.
لینکهای سریع به کتگوریهای دیتا: نوار پیمایش چپ
مجموعه دیتای ارائه شده از طریق روشهای مختلف جمعآوری بزرگمقیاس از جمله سینکهول کردن، اسکن کردن و هانیپاتها جمعآوری میشوند. این کتگوریهای اصلی مجموعه دیتا در نوار پیمایش چپ به اشتراک گذاشته شدهاند و هر نوع دستهبندی با نماد متفاوتی نشان داده میشود.
هدف از این کار فراهم کردن امکان رفتن سریعتر به سراغ کتگوریهای منبع خاص است. طرز مثال:
-
سینکهول - نمایی کلی از مجموعه دیتای گروپبندی شده بربنیاد منبع
sinkhole
را ارائه میدهد. بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، نتیجه سینکهول خاصی را مشاهده نمایید. -
اسکنها - نمایی کلی از مجموعه دیتای گروپبندیشده بربنیاد منبع
scan
را ارائه میدهد (این دستهبندی شامل نتایج اسکن برای سرویسهایی است که نوعی از مشکلات امنیتی با آنها مرتبط است، شما همچنان میتوانید بجای آن با انتخاب منبعpopulation
، اسکن جمعیت را مشاهده نمایید). بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، نتیجه اسکن خاصی را مشاهده نمایید. -
هانیپاتها - نمایی کلی از مجموعه دیتای گروپبندی شده بربنیاد منبع
honeypot
را ارائه میدهد. بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، نتیجه هانیپات خاصی را مشاهده نمایید. -
DDoS - نمایی کلی از مجموعه دیتای گروپبندی شده بربنیاد منبع
honeypot_ddos_amp
را ارائه میدهد. آنها حملات DDoS تقویت شده هستند که بربنیاد اهداف منحصربهفرد در یک کشور/منطقه خاص مشاهده میشوند. بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، روش تقویت خاصی را مشاهده نمایید. -
ICS - نمایی کلی از مجموعه دیتای گروپبندی شده بربنیاد منبع
ics
را ارائه میدهد (که نتایج اسکن پروتکلهای بومی سیستمهای کنترول صنعتی هستند). بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، پروتکلهای بومی مورد استفاده را مشاهده نمایید. -
CVEهای وب - نمایی کلی از مجموعه دیتای گروپبندی شده بربنیاد
http_vulnerable
وexchange
را ارائه میدهد. آنها پروگرامهای تحت وب آسیبپذیر هستند که در اسکنهای ما معمولاً بهعنوان CVE شناسایی میشوند. بعداً میتوانید با انتخاب یک تگ یا گروپی از تگها، CVEها یا محصولات آلوده را مشاهده نمایید.
مجموعه دیتا را میتوان بربنیاد کشور یا گروپبندی کشورها، مناطق و قارهها تفکیک کرد.
هر مجموعه دیتا همچنان در بخش «درباره این دیتا» تشریج شده است.
لطفاً متوجه باشید که غیر از موارد اشاره شده مجموعه دیتای دیگری نیز در دسترس است. طرز مثال، منبع beacon
به شما امکان میدهد C2های فریمورک بعد از سوءاستفاده را که در اسکنهایمان میبینیم، چک کنید و منبع compromised_website
به شما امکان میدهد نقاط پایانی وب غیر مصئون را که در اسکنهای ما مشاهده میشود بررسی نمایید.
نوار پیمایش بالا
نوار پیمایش بالا گزینههای نمایش مختلف را برای ارائه دیتا و همچنان برای طرز نمایش مجموعه دیتای شناسایی دستگاهها و مشاهده حمله قابل ممکن میسازد.
احصائات عمومی
احصائات عمومی شامل توانایی مصورسازی هر منبع و تگ با انتخاب موارد ذیل است:
- نقشه جهان - یک نمایشگر نقشه جهان است که منابع و تگهای انتخاب شده را نشان میدهد. قابلیتهای اضافی عبارتند از: امکان تغییر نما برای نشان دادن متداولترین تگها برای هر کشور در بدل هر منبع، نورمال کردن دیتا بربنیاد جمعیت، تولید ناخالص داخلی، اتصال مستفیدان و غیره. شما همچنان میتوانید نشانگرهایی را برای نمایش مقادیر مربوط به هر کشور بر روی نقشه انتخاب نمایید.
- نقشه منطقه - نمای نقشه در سطح کشور و تقسیم کشورها به مناطق و استانها.
- نقشه مقایسه - نقشه مقایسه دو کشور.
- سریهای زمانی - ترسیمهی که ترکیب منبع و تگ را در طول زمان نشان میدهد. متوجه باشید که گروپبندی دیتا به اشکال مختلف (نه فقط بربنیاد کشور) قابل ممکن است.
- مصورسازی - گزینههای مختلفی را برای بررسی دقیق مجموعه دیتا، از جمله اوسطهای مقادیر در طول زمان، ارائه میدهد. امکان نمایش دیتا در قالب جداول، ترسیمههای میلهای، ترسیمههای حبابی و غیره را فراهم میسازد.
احصائات دستگاههای انترنت اشیا (احصائات شناسایی دستگاهها)
این مجموعه دیتا و مصورسازیهای مرتبط، تصویری کلی و روزانه از نقاط پایانی قابل مشاهده گروپبندی شده بربنیاد فروشندگان قابل مشاهده و محصولات آنها را ارائه میکنند که از طریق اسکنهای ما شناسایی شدهاند. دیتا بربنیاد فروشنده، مدل و نوع دستگاه دستهبندی میشوند. آنها از طریق روشهای مختلف شناسایی میشوند، از جمله: محتوای صفحه وب، سرتفیکیتهای SSL/TLS، بنرهای نمایش داده شده و غیره. مجموعه دیتا فقط شامل دیتای جمعیت هستند یعنی هیچکدام ارزیابی از آسیبپذیریهای مرتبط با نقاط پایانی قابل مشاهده صورت نمیگیرد (برای مشاهده موارد مذکور، میتوانید منابعی مانند http_vulnerable
را در بخش «احصائات عمومی» انتخاب نمایید).
در بخش «احصائات عمومی» ترسیمههای مصورسازی مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگها میتوانید فروشندگان، مدلها و انواع دستگاه را مشاهده (و گروپبندی) کنید.
احصائات حملات: آسیبپذیریها
این مجموعه دیتا و مصورسازیهای مرتبط، نمایی کلی و روزانه از حملاتی که توسط شبکه سنسور هانیپات ما مشاهده میشوند را با تمرکز بر آسیبپذیریهای مورد سوءاستفاده ارائه میدهند. این موارد عبارتند از توانایی مشاهده محصولاتی که اغلب مورد حمله قرار میگیرند و بررسی نحوه حمله به آنها (یعنی با کدام آسیبپذیری مورد سوءاستفاده، که ممکن است شامل CVE خاصی باشد که مورد سوءاستفاده قرار میگیرد). همچنان میتوانید ترسیمهها را بربنیاد منبع حملات و مقصدها مشاهده نمایید.
در بخش «احصائات عمومی» ترسیمههای مصورسازی مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگها میتوانید فروشنده، آسیبپذیری و همچنان منبع و مقصد حملات را مشاهده (و گروپبندی) کنید.
یک دستهبندی مصورسازی اضافی - یعنی نظارت نیز اضافه شده است:
این دستهبندی، جدول روزانه اپدیت شده رایجترین آسیبپذیریهای مورد سوءاستفاده است که بربنیاد IPهای منبع منحصربهفرد مهاجم مشاهده شده گروپبندی شدهاند (یا اگر گزینه احصائات دفعات سعی برای اتصال را انتخاب نمایید، بربنیاد دفعات سعی برای حمله را نشان میدهد). منبع دیتا، شبکه سنسورهای هانیپات ما است. دیتا بربنیاد آسیبپذیریهای مورد سوءاستفاده گروپبندی میشوند. این دیتا همچنان شامل موارد ذیل است: نگاشتهای آسیبپذیریهای شناخته شده CISA (از جمله اینکه آیا مشخص است که توسط یک گروپ سافتویر باجگیر مورد سوءاستفاده قرار میگیرند یا خیر) و همچنان اینکه آیا حمله بجای پروگرام سرور، علیه دستگاه انترنت اشیا صورت میگیرد یا خیر.
بطور پیشفرض، رایجترین آسیبپذیریهای مورد سوءاستفاده در سراسر جهان را نشان میدهد، اما میتوانید بجای آن دیتا را بربنیاد کشور یا گروپبندی خاصی فلتر کرده یا یک جدول ناهنجاری را نمایش دهید.
احصائات حملات: دستگاهها
این مجموعه دیتا و مصورسازیهای مرتبط نمایی کلی و روزانه را از انواع دستگاههای مهاجم که توسط شبکه سنسور هانیپات ما مشاهده میشود، ارائه میدهند. انگشتنگاری این دستگاهها در طول اسکنهای روزانه ما صورت میگیرد. مجموعه دیتا امکان ردیابی انواع حمله، فروشندگان دستگاه یا مدلهای خاص را فراهم میکنند و میتوانند بربنیاد کشور فلتر شوند.
در بخش «احصائات عمومی» ترسیمههای مشابهی وجود دارد، با این تفاوت که بجای استفاده از منابع و تگها میتوانید نوع حمله، فروشنده دستگاه یا مدل را مشاهده (و گروپبندی) کنید.
یک دستهبندی مصورسازی اضافی - یعنی نظارت نیز اضافه شده است:
این دستهبندی، جدول روزانه اپدیت شده رایجترین دستگاههای مهاجم است که بربنیاد IPهای منبع منحصربهفرد مهاجم مشاهده شده گروپبندی شدهاند (یا اگر گزینه احصائات دفعات سعی برای اتصال را انتخاب نمایید، بربنیاد دفعات سعی برای حمله را نشان میدهد). منبع این دیتا، همانند تمام مجموعه دیتای نمایش داده شده در این دستهبندی، شبکه سنسورهای هانیپات ما است. این دیتا بربنیاد نوع حمله مشاهده شده، فروشنده و مدل (در صورت امکان) گروپبندی میشود. ما دستگاه مهاجم را بربنیاد همبستگی IPهای مشاهده شده با نتایج انگشتنگاری روزانه اسکن دستگاه خود تعیین میکنیم (به بخش «احصائات دستگاههای انترنت اشیا» مراجعه نمایید).
بطور پیشفرض، متداولترین دستگاههای مهاجم را که حمله میکنند (بربنیاد منبع) نشان میدهد (و همچنان شامل مواردی است که نمیتوانیم فقط یک دستگاه را شناسایی نموده یا طرز مثال، فقط یک فروشنده را شناسایی کنیم). میتوانید انتخاب نمایید که دیتا را بربنیاد کشور یا گروپبندی خاصی فلتر کرده یا درعوض یک جدول ناهنجاری را نمایش دهید.