Prezentarea generală a tabloului de bord

Tabloul de bord Shadowserver prezintă statistici de nivel ridicat care reflectă seturile de date principale pe care Shadowserver le colectează și le partajează prin activitățile sale zilnice în peste 100 de rapoarte zilnice. Seturile de date permit identificarea suprafeței expuse la atacuri, a vulnerabilităților, configurațiilor inadecvate, compromisurilor rețelelor, precum și observațiile privind atacurile. Datele, partajate în formă de rapoarte, conțin informații la nivel de IP detaliate cu privire la o anumită rețea sau jurisdicție. Tabloul de bord Shadowserver nu permite acest nivel de granularitate. Dimpotrivă, prezintă statistici de nivel ridicat care reflectă aceste activități. Aceasta permite colectarea de informații cu privire la ultimele amenințări emergente, vulnerabilități, incidente care oferă conștientizare situațională comunității generale și în același timp menține anonimatul părților implicate.

Surse și etichete

Prezentarea datelor este organizată în jurul sources și tags. O sursă este în principal o grupare de date cu o anumită formă. Sursele de bază sunt honeypot, population, scan, sinkhole. Atât populația cât și scanarea sunt seturi de bază pe bază de scanare, populația fiind o numărare a punctelor finale de expunere fără o evaluare a vulnerabilității/securității. Un sufix 6 reprezintă date IPv6 (toate intrările fără sufix se referă la date IPv4).

Sursele pot avea etichete asociate care furnizează context suplimentar pentru datele prezentate. De exemplu, etichetele pentru scan vor include tipurile de scanare diferite efective (respectiv, servicii/protocoale scanate precum telnet, ftp și rdp). Etichetele pentru sinkhole ar reflecta familiile de malware efective care se conectează la un sinkhole (respectiv gazde infectate de un tip de familie malware precum adload, andromeda și necurs).

Etichetele furnizează informații suplimentare cu privire la datele prezentate.

În plus, introducem grupări de surse suplimentare pentru a reflecta mai bine observații privind gazde vulnerabile sau compromise - de exemplu, http_vulnerable sau compromised_website. De regulă, acestea vor conține etichete care reflectă vulnerabilități CVE specifice, furnizori sau produse afectate sau informații despre backdoor-uri, webshell-uri or implanturi văzute. Un exemplu pentru http_vulnerable ar fi citrix or cve-2023-3519.

La final, pe măsură ce adăugăm mai multe detecții la seturile noastre de date, avem mai multe etichete. Aceasta înseamnă că pot apărea noi categorii de surse, dintre care putem alege. De exemplu, chiar dacă snmp este o etichetă prezentă în sursă scan, apare și ca sursă. Aceasta ne permite să prezentăm rezultate de scanare snmp mai granulare, care permit vizualizarea rezultatelor de scanare snmp specifice asociate cu o vulnerabilitate precum cve-2017-6736.

Link-uri rapide la categorii de date: bara de navigare stânga

Seturile de date prezentate sunt colectate prin diferite metode de colectare pe scară largă, inclusiv sinkholing, scanare și honeypot-uri. Aceste categorii principale ale seturilor de date sunt partajate în bara de navigare din stânga, fiecare tip de categorie fiind simbolizat de o pictogramă diferită.

Scopul este să se permită analize mai rapide asupra unor categorii specifice source. De exemplu:

  • Sinkhole-uri - oferă o prezentare generală a seturilor de date grupate după sursă sinkhole. Apoi puteți vizualiza un rezultat sinkhole specific selectând o etichetă sau un grup de etichete.
  • Scans - oferă o prezentare generală a seturilor de date grupate după sursă scan (Această categorie conține rezultate de scanare pentru servicii care au un anumit tip de problemă de securitate asociată cu acestea. De asemenea, puteți vizualiza rezultatele de scanare ale populațiilor selectând sursa population). Apoi puteți vizualiza un rezultat de scanare specific selectând o etichetă sau un grup de etichete.
  • Honeypot-uri - oferă o prezentare generală a seturilor de date grupate după sursă honeypot. Apoi puteți vizualiza un rezultat honeypot specific selectând o etichetă sau un grup de etichete.
  • DDoS - Oferă o prezentare generală a seturilor de date grupate după sursă honeypot_ddos_amp. Acestea sunt atacuri de amplificare văzute după ținte unice într-o anumită țară/regiune. Apoi puteți vizualiza o metodă de amplificare specifică utilizată selectând o etichetă sau un grup de etichete.
  • ICS - Oferă o prezentare generală a seturilor de date grupate după sursă ics (respectiv rezultatele de scanare ale protocoalelor native Industrial Control Systems). Apoi puteți vizualiza protocoalele native utilizate selectând o etichetă sau un grup de etichete.
  • Web CVEs - Oferă o prezentare generală a seturilor de date grupate după http_vulnerable și exchange. Acestea sunt aplicații web vulnerabile identificate în scanările noastre de regulă de către CVE. Puteți vizualiza CVE-urile sau produsele afectate selectând o etichetă sau un grup de etichete.

Seturile de date pot fi defalcate după țară sau grupări ale unei țări, regiuni și continente.

Fiecare set de date este descris și în secțiunea „Despre aceste date”.

A se reține că există mai multe seturi de date disponibile, altele decât cele subliniate. De exemplu, sursa beacon vă va permite să explorați C2-urile cadru post exploatare pe care le vedem în scanările noastre, iar sursa compromised_website vă va permite să explorați punctele finale web compromise văzute în scanările noastre.

Bara de navigare de sus

Bara de navigare din partea de sus permite diverse opțiuni de vizualizare pentru prezentarea datelor, precum și vizualizarea identificării dispozitivelor și seturilor de date pentru observarea atacurilor.

Statistici generale

Statisticile generale includ capacitatea de a vizualiza orice sursă și etichetă selectând:

  • Harta lumii - o afișare de tip hartă a lumii care arată sursele și etichetele selectate. Caracteristicile suplimentare includ: capacitatea de a comuta afișarea pentru a arăta eticheta cel mai frecvent întâlnită pentru fiecare țară pentru fiecare sursă, normalizarea după populație, produsul intern brut, conectarea utilizatorilor, etc. De asemenea, puteți selecta indicatori pe hartă pentru a afișa valorile pentru fiecare țară.
  • Harta regiunii - afișare de tip hartă la nivel de țară cu țări defalcate în regiuni și provincii.
  • Hartă comparativă - o hartă comparativă a două țări.
  • Serie temporală - o diagramă care arată combinațiile dintre sursă și etichetă în timp. A se reține că aceasta permite diferite forme de grupări de date (nu doar după țară).
  • Vizualizare - oferă diverse opțiuni de defalcare în seturile de date, inclusiv mediile valorilor în timp. Permite afișarea datelor în formă de tabele, diagrame de tip bară, diagrame de tip bulă și altele.

Statistici privind dispozitivele IoT (statistici de identificare a dispozitivelor)

Acest set de date și vizualizările asociate oferă o imagine zilnică a punctelor finale expuse grupate după furnizori expuși și produsele acestora identificate prin intermediul scanărilor noastre. Datele sunt clasificate după furnizor, model și tip de dispozitiv. Acestea sunt identificate prin diverse mijloace, inclusiv conținutul paginii web, certificatele SSL/TLS, bannerele afișate, etc. Seturile de date conțin doar date privind populațiile, respectiv nu se face nici o evaluare cu privire la vulnerabilitățile asociate cu punctele finale expuse (pentru a le vizualiza pe acestea, selectați surse precum, de exemplu, http_vulnerable la secțiunea „Statistici generale”).

Diagrame de vizualizare similare celor din secțiunea „Statistici generale” există, cu diferența că în loc de a folosi surse și etichete puteți vizualiza (și grupa după) furnizori, modele și tipuri de dispozitive.

Statistici privind atacurile: vulnerabilități

Acest set de date și vizualizările asociate oferă o imagine zilnică a atacurilor văzute de rețeaua noastră cu senzori honeypot, concentrându se pe vulnerabilitățile folosite pentru exploatare. Acestea includ capacitatea de a vizualiza produse care sunt cel mai frecvent atacate și de a explora maniera în care sunt atacate acestea (respectiv prin care vulnerabilitate exploatată, ceea ce poate include CVE specific exploatat). De asemenea, puteți vizualiza diagrame după sursa și destinațiile atacurilor.

Diagrame de vizualizare similare secțiunii „Statistici generale” există, cu diferența că în loc să folosiți surse și etichete puteți vizualiza (și grupa după) furnizor, vulnerabilitate și sursa și destinația atacurilor.

De asemenea, a fost adăugată o categorie de vizualizare suplimentară - Monitorizare:

Aceasta este un tabel actualizat zilnic al celor mai frecvent întâlnite vulnerabilități exploatate, grupate după IP-urile sursă unice observate că efectuează atacuri (sau încercări de atacuri văzute, dacă selectați opțiunea statisticilor de încercări de conectare). Datele sunt obținute din rețeaua noastră de senzori honeypot. Datele sunt grupate după vulnerabilități exploatate. De asemenea, acestea includ mapările vulnerabilităților exploatate cunoscute CISA (inclusiv dacă sunt cunoscute a fi exploatate de către un grup ransomware), precum și dacă atacul este împotriva unui dispozitiv IPs și nu împotriva unei aplicații pentru servere.

Implicit, afișarea arată vulnerabilitățile cele mai frecvent întâlnite exploatate în întreaga lume, dar puteți filtra și după o anumită țară sau grupare sau puteți afișa un tabel cu anomalii.

Statistici privind atacurile: dispozitive

Acest set de date și vizualizările asociate oferă o imagine zilnic a tipurilor de dispozitive atacatoare văzute de rețeaua noastră de senzori honeypot. Luarea amprentelor acestor dispozitive este realizată prin scanările noastre zilnice. Seturile de date permit urmărirea unor tipuri de atacuri specifice, a unor furnizori de dispozitive sau modele și pot fi filtrate după țară.

Diagrame similare secțiunii statistici generale există cu diferența că în loc să folosiți surse și etichete, puteți vizualiza (și grupa după) tipul atacului, furnizorul dispozitivului sau model.

De asemenea, a fost adăugată o categorie de vizualizare suplimentară - Monitorizare:

Acesta este un tabel zilnic actualizat al celor mai frecvent întâlnite dispozitive atacatoare văzute după IP-urile sursă unice observate că efectuează atacuri (sau încercări de atacuri văzute, dacă selectați opțiunea statisticilor privind încercările de conectare). La fel ca la toate seturile de date afișate în această categorie, datele sunt obținute din rețeaua noastră de senzori honeypot. Sunt grupate după tipul de atac văzut, furnizor și model (dacă este disponibil). Determinăm dispozitivul atacator corelând IP-urile văzute cu rezultatele luării zilnice a amprentelor prin scanarea dispozitivelor (a se vedea secțiunea „Statistici privind dispozitivele IoT”).

Implicit, afișarea arată dispozitivele atacatoare cele mai frecvent întâlnite (după sursă) văzute că efectuează atacuri (aceasta include cazuri în care nu putem identifica un dispozitiv sau, de exemplu, putem identifica doar un furnizor). Puteți alege să filtrați după o anumită țară sau grupare sau puteți afișa un tabel de anomalii.

Dezvoltarea tabloului de bord Shadowserver a fost finanțată de UK FCDO. Statisticile bazate pe amprentele dispozitivelor IoT și statisticile privind atacurile honeypot co-finanțate de Connecting Europe Facility din cadrul Uniunii Europene (Proiectul UE CEF VARIoT).

Dorim să mulțumim tuturor partenerilor noștri care contribuie cu date la tabloul de bord Shadowserver, inclusiv (alfabetic) Feedurile comunitare APNIC , Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University și toate persoanele care aleg să rămână anonime.

Shadowserver folosește cookie-uri pentru a colecta date analitice. Aceasta ne permite să măsurăm felul în care este folosit site-ul și să îmbunătățim experiența pentru utilizatorii noștri. Pentru informații suplimentare cu privire la cookie-uri și felul în care le folosește Shadowserver, consultați politica de confidențialitate. Avem nevoie de consimțământul dumneavoastră pentru a folosi cookie uri în această manieră pe dispozitivul dumneavoastră.