Visão geral do painel
O Shadowserver Dashboard apresenta estatísticas de alto nível que refletem os principais conjuntos de dados que o Shadowserver recolhe e partilha através das suas atividades diárias em mais de 100 relatórios diários. Os conjuntos de dados permitem a identificação da superfície de ataque exposta, vulnerabilidades, configurações incorretas, comprometimentos de redes, bem como observações de ataques. Os dados, partilhados na forma de relatórios, contêm informações detalhadas ao nível de IP relativas a uma determinada rede ou grupo constituinte. O Shadowserver Dashboard não permite este nível de granularidade. Em vez disso, apresenta estatísticas de alto nível que refletem estas atividades. Isso permite insights sobre as mais recentes ameaças, vulnerabilidades e incidentes emergentes, proporcionando consciência situacional à comunidade em geral, preservando ao mesmo tempo o anonimato de todas as partes envolvidas.
Fontes e tags
A apresentação dos dados é organizada em torno de fontes e tags. Uma fonte é essencialmente um agrupamento de dados de alguma forma. As fontes básicas são honeypot
, population
, scan
, sinkhole
. Tanto a população quanto a análise são conjuntos de dados baseados em análise, sendo a população uma contagem de endpoints de exposição sem uma avaliação de vulnerabilidade/segurança. Um sufixo 6
representa dados IPv6 (todas as entradas sem o sufixo referem-se a dados IPv4).
As fontes podem ter tags associadas a elas que fornecem contexto adicional para os dados apresentados. Por exemplo, tags para scan
incluirão os diferentes tipos de análise (ou seja, serviços/protocolos sendo verificados como telnet
, ftp
e rdp
). Tags para sinkhole
refletiriam as famílias reais de malware conectadas a um sinkhole (ou seja, hosts infetados por um tipo de família de malware como adload
, andromeda
e necurs
).
As tags fornecem insights adicionais sobre os dados apresentados.
Além disso, também introduzimos agrupamentos de fontes adicionais para refletir melhor as observações sobre hosts vulneráveis ou comprometidos - por exemplo, http_vulnerable
ou compromised_website
. Normalmente, contêm tags que refletem vulnerabilidades específicas de CVE, fornecedores ou produtos afetados ou informações sobre backdoors, webshells ou implantes vistos. Um exemplo de http_vulnerable
seria citrix
ou cve-2023-3519
.
Finalmente, à medida que adicionamos mais deteções aos nossos conjuntos de dados, acabamos com mais tags. Isso significa que novas categorias de fontes podem aparecer para escolher. Por exemplo, embora snmp
seja uma tag presente na fonte scan
, ela também é apresentada como fonte. Isso permite apresentar resultados de análise snmp mais granulares que permitem a visualização de resultados de análise snmp específicos associados a uma vulnerabilidade como cve-2017-6736
.
Links rápidos para categorias de dados: barra de navegação esquerda
Os conjuntos de dados apresentados são recolhidos através de vários métodos de recolha em larga escala, incluindo sinkholes, scans e honeypots. Estas categorias principais dos conjuntos de dados são partilhadas na barra de navegação esquerda, com cada tipo de categoria simbolizada por um ícone diferente.
O objetivo é permitir análises mais rápidas em categorias específicas de fontes. Por exemplo:
-
Sinkholes - fornece uma visão geral dos conjuntos de dados agrupados por
sinkhole
de fonte. Pode então visualizar um resultado específico de sinkhole selecionando uma tag ou grupo de tags. -
Scans - fornece uma visão geral dos conjuntos de dados agrupados por
scan
de fonte (esta categoria contém resultados de scan para serviços que possuem algum tipo de problema de segurança associado a eles, também pode visualizar os resultados de scan de população selecionandopopulation
de fonte). Pode então visualizar o resultado de uma análise específica selecionando uma tag ou grupo de tags. -
Honeypots - fornece uma visão geral dos conjuntos de dados agrupados por
honeypot
. Pode então visualizar o resultado de um honeypot específico selecionando uma tag ou grupo de tags. -
DDoS - fornece uma visão geral dos conjuntos de dados agrupados por fonte
honeypot_ddos_amp
. Estes são ataques DDoS de amplificação vistos por alvos únicos num determinado país/região. Pode então visualizar um método de amplificação específico utilizado selecionando uma tag ou grupo de tags. -
ICS - fornece uma visão geral dos conjuntos de dados agrupados por
ics
(que são resultados de análise de protocolos nativos de Sistemas de Controlo Industrial). Pode então visualizar os protocolos nativos utilizados selecionando uma tag ou grupo de tags. -
Web CVEs - fornece uma visão geral dos conjuntos de dados agrupados por
http_vulnerable
eexchange
. Estas são aplicações web vulneráveis identificadas nas nossas análises, normalmente pelo CVE. Pode visualizar os CVE ou produtos afetados selecionando uma tag ou grupo de tags.
Os conjuntos de dados podem ser divididos por países ou agrupamentos de países, regiões e continentes.
Cada conjunto de dados também é descrito em “Sobre estes dados”.
Observe que há mais conjuntos de dados disponíveis além dos destacados. Por exemplo, o beacon
de origem permitirá que explore C2s da estrutura pós-exploração que vemos nas nossas análises, e o compromised_website
de origem permitirá que explore endpoints web comprometidos vistos nas nossas análises.
Barra de navegação superior
A barra de navegação superior permite várias opções de visualização para apresentação de dados, bem como para visualização de identificação de dispositivos e conjuntos de dados de observação de ataques.
Estatísticas gerais
As estatísticas gerais incluem a capacidade de visualizar qualquer fonte e tag selecionando:
- Mapa mundial - uma exibição de mapa mundial que mostra fontes e tags selecionadas. Os recursos extras incluem: capacidade de alternar a exibição para mostrar a tag mais comum por país e por fonte, normalização por população, PIB, conectar utilizadores, etc. Também pode selecionar marcadores no mapa para exibir valores por país.
- Mapa de região - um mapa ao nível de país com países divididos em regiões e províncias.
- Mapa de comparação - um mapa de comparação de dois países.
- Série temporal - um gráfico que mostra combinações de fonte e tag ao longo do tempo. Observe que permite diferentes formas de agrupamento de dados (não apenas por país).
- Visualização - oferece várias opções de detalhe dos conjuntos de dados, incluindo médias de valores ao longo do tempo. Permite exibir dados na forma de tabelas, gráficos de barras, diagramas de bolhas e muito mais.
Estatísticas de dispositivos IoT (estatísticas de identificação de dispositivos)
Este conjunto de dados e as visualizações associadas fornecem um snapshot diário de endpoints expostos agrupados por fornecedores expostos e respetivos produtos identificados através das nossas análises. Os dados são categorizados por fornecedor, modelo e tipo de dispositivo. Estes são identificados por vários meios, incluindo conteúdo de páginas da web, certificados SSL/TLS, banners exibidos, etc. Os conjuntos de dados contêm apenas dados populacionais, ou seja, nenhuma avaliação é feita de quaisquer vulnerabilidades associadas aos endpoints expostos (para encontrá-los, selecione fontes como, por exemplo, http_vulnerable
em “Estatísticas gerais”).
Existem gráficos de visualização semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de utilizar fontes e tags pode visualizar (e agrupar por) fornecedores, modelos e tipos de dispositivos.
Estatísticas de ataque: vulnerabilidades
Este conjunto de dados e as visualizações associadas fornecem um resumo diário dos ataques vistos pela nossa rede de sensores honeypot, com foco nas vulnerabilidades utilizadas para exploração. Isso inclui a capacidade de visualizar produtos que são atacados com mais frequência e de explorar como estes são atacados (ou seja, por qual vulnerabilidade explorada, o que pode incluir CVE específico a ser explorado). Também pode visualizar gráficos por origem e destino dos ataques.
Existem gráficos de visualização semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de utilizar fontes e tags pode visualizar (e agrupar por) fornecedor, vulnerabilidade bem como fonte e destino dos ataques.
Uma categoria de visualização adicional - Monitorização, também foi adicionada:
Esta é uma tabela diária atualizada das vulnerabilidades exploradas mais comuns, agrupadas por IPs de origem exclusivos observados no ataque (ou tentativas de ataque observadas, se selecionar a opção estatística de tentativas de conexão). Os dados são provenientes da nossa rede de sensores honeypot. Os dados são agrupados por vulnerabilidades exploradas. Também inclui mapeamentos de vulnerabilidades exploradas conhecidas da CISA (incluindo se é conhecido por ser explorado por um grupo de ransomware), bem como se o ataque é contra um dispositivo IoT e não contra uma aplicação de servidor.
Por padrão, a exibição mostra as vulnerabilidades mais comuns exploradas em todo o mundo, mas também pode filtrar por país ou grupo específico ou exibir uma tabela de anomalias.
Estatísticas de ataque: dispositivos
Este conjunto de dados e as visualizações associadas fornecem um snapshot diário dos tipos de dispositivos de ataque vistos pela nossa rede de sensores honeypot. A impressão digital destes dispositivos é feita por meio de análises diárias. Os conjuntos de dados permitem o rastreamento de tipos específicos de ataques, fornecedores ou modelos de dispositivos e podem ser filtrados por país.
Existem gráficos semelhantes aos de “Estatísticas gerais”, com a diferença de que em vez de utilizar fontes e tags pode visualizar (e agrupar por) o tipo de ataque, fornecedor ou modelo do dispositivo.
Uma categoria de visualização adicional - monitorização, também foi adicionada:
Esta é uma tabela diária atualizada dos dispositivos de ataque mais comuns vistos por IPs de origem exclusivos observados a atacar (ou tentativas de ataque vistas, se selecionar a opção de estatística de tentativas de conexão). Como em todos os conjuntos de dados exibidos nesta categoria, estes são provenientes da nossa rede de sensores honeypot. É agrupado por tipo de ataque visto, fornecedor e modelo (se disponível). Determinamos o dispositivo atacante correlacionando os IPs vistos com os resultados da nossa impressão digital diária do dispositivo (consulte a secção “Estatísticas do dispositivo IoT”).
Por predefinição, a exibição mostra os dispositivos de ataque mais comuns (por origem) vistos a atacar (isso inclui casos em que não conseguimos identificar um dispositivo ou, por exemplo, apenas identificar um fornecedor). Pode optar por filtrar por país ou grupo específico ou exibir uma tabela de anomalias.