Обзор панели управления
На панели управления Shadowserver отображается общая статистика, показывающая основные наборы данных, которые Shadowserver собирает и распространяет в рамках своей ежедневной работы в более чем 100 ежедневных отчетах. Наборы данных позволяют идентифицировать открытые поверхности атак, уязвимости, неправильные конфигурации и сетевые угрозы, а также наблюдать за атаками. Данные, представленные в виде отчетов, содержат подробную информацию на уровне IP-адресов, относящуюся к определенной сети или группе пользователей. На панели управления Shadowserver невозможно получить такой уровень детализации. Наоборот, на ней отображается общая статистика, которая показывает все эти действия. Таким образом можно ознакомиться с информацией о последних возникающих угрозах, уязвимостях и инцидентах, позволяя общественности следить за обстановкой, и сохранять при этом анонимность всех участвующих сторон.
Источники и теги
Представление данных организовано вокруг источников и тегов. Источник, по сути, представляет собой некую группу данных. Основные источники: honeypot
(ханипот), population
(популяция), scan
(сканирование), sinkhole
(синкхол). Оба набора данных — «population» и «scan» — основаны на сканировании, но при этом набор «population» представляет собой количество конечных незащищенных точек без оценки их уязвимости/безопасности. Суффикс 6
обозначает данные с адресами IPv6 (все записи без суффикса относятся к данным с адресами IPv4).
Источники могут иметь связанные с ними теги для добавления дополнительного контекста в представляемые данные. Например, теги для scan
будут включать различные типы сканирования (т. е. сканируемые сервисы/протоколы, такие как telnet
, ftp
и rdp
). Теги для sinkhole
будут отражать фактические семейства вредоносного ПО, подключенного к «синкхолу» (например, хосты, зараженные одним из типов семейств вредоносного ПО, таких как adload
, andromeda
и necurs
).
Теги добавляют к представляемым данным дополнительную информацию.
Также мы рекомендуем использовать дополнительные группы источников для более точного отображения наблюдений за уязвимыми или зараженными хостами (например, http_vulnerable
или compromised_website
). Они обычно содержат теги, которые отражают конкретные уязвимости CVE, затронутых поставщиков или продукты либо информацию об обнаруженных бэкдорах, веб-оболочках или программных закладках. Например: http_vulnerable
может быть citrix
или cve-2023-3519
.
Наконец, в ходе добавления в наши наборы данных новых видов обнаружения, добавляются также и новые теги. Это означает, что могут появиться новые категории источников для выбора. Например, несмотря на то, что snmp
является тегом, присутствующим в источнике scan
, он также доступен как источник. Это позволяет нам представлять более детализированные результаты сканирования SNMP, которые обеспечивают возможность просмотра конкретных результатов сканирования SNMP, связанных с уязвимостью, например cve-2017-6736
.
Быстрые ссылки на категории данных: левая панель навигации
Представленные наборы данных собраны с использованием различных методов масштабного сбора данных, включая синкхолинг, сканирование и ханипоты. Эти основные категории наборов данных представлены на панели навигации слева, где каждый тип категории обозначен отдельным значком.
Цель: обеспечить более быстрое погружение в конкретные категории источников. Например:
-
Синкхолы — обзор наборов данных, сгруппированных по источнику
sinkhole
. Просмотреть результаты конкретного синкхола можно путем выбора тега или группы тегов. -
Сканирования — обзор наборов данных, сгруппированных по источнику
scan
(эта категория содержит результаты сканирования для сервисов, связанных с некоторыми проблемами безопасности; можно также просмотреть результаты сканирования популяции, выбрав вместо этого источникpopulation
). Просмотреть результаты по конкретному сканированию можно путем выбора тега или группы тегов. -
Ханипоты — обзор наборов данных, сгруппированных по источнику
honeypot
. Просмотреть результаты по конкретному ханипоту можно путем выбора тега или группы тегов. -
DDoS-атаки — обзор наборов данных, сгруппированных по источнику
honeypot_ddos_amp
. Это амплифицированные DDoS-атаки, направленные на уникальные цели в определенной стране/регионе. Просмотреть результаты по конкретному методу амплификации можно путем выбора тега или группы тегов. -
ICS — обзор наборов данных, сгруппированных по источнику
ics
(которые являются результатами сканирования родных протоколов промышленных систем управления). Просмотреть результаты по конкретному родному протоколу можно путем выбора тега или группы тегов. -
Веб-уязвимости CVE — обзор наборов данных, сгруппированных по
http_vulnerable
иexchange
. Это уязвимые веб-приложения, обнаруженные в ходе наших сканирований, обычно по базе данных CVE. Просмотреть уязвимости CVE или затронутые продукты можно путем выбора тега или группы тегов.
Наборы данных могут быть разбиты по странам или группам стран, регионам и континентам.
Каждый набор данных также описывается в поле «Об этих данных».
Обратите внимание, что доступно больше наборов данных, чем те, что были описаны здесь. Например, источник beacon
позволяет изучать фреймворки C2 после использования их уязвимости, которые мы видим в ходе наших сканирований, а источник compromised_website
— зараженные конечные веб-точки, обнаруженные также в ходе наших сканирований.
Верхняя панель навигации
Верхняя панель навигации позволяет использовать различные параметры визуализации для представления данных, а также для визуализации наборов данных по идентификации устройств и наблюдению за атаками.
Общая статистика
Общая статистика включает возможность визуализации любого источника и тега, используя следующие параметры:
- Карта мира — представление карты мира с выбранными источниками и тегами. Среди дополнительных функций: возможность переключения отображения для показа наиболее распространенного тега по странам и источникам, нормализация по популяции, ВВП, подключению пользователей и другое. Можно также выбрать маркеры на карте для отображения значений по странам.
- Карта регионов — представление карты на уровне стран с разделением стран на регионы и административные единицы.
- Карта сравнения — карта сравнения двух стран.
- Временные ряды — диаграмма, где показана комбинация источника и тега в различные моменты времени. Обратите внимание, что таким образом можно использовать различные формы групп данных (не только по странам).
- Визуализация — позволяет разными способами группировать данные, в том числе по средним значениям, за различные моменты времени. Таким образом можно отображать данные в виде таблиц, гистограмм, пузырьковых диаграмм и других форм.
Статистика устройств Интернета вещей (статистика идентификации устройств)
Этот набор данных и связанные с ним визуализации предоставляют ежедневный снимок обнаруженных конечных точек, сгруппированных по поставщикам и их продуктам, идентифицированным в ходе наших сканирований. Данные классифицируются по поставщику, модели и типу устройства. Идентификация этих данных происходит с использованием различных средств, включая содержимое веб-страниц, сертификаты SSL/TLS, отображаемые баннеры и другое. Наборы данных содержат только информацию о популяции, т. е. оценка уязвимостей, связанных с открытыми конечными точками, не проводится (для поиска выберите источники, например http_vulnerable
в разделе «Общая статистика»).
Существуют аналогичные диаграммы с визуализацией, такие как в разделе «Общая статистика», но вместо использования источников и тегов можно просматривать поставщиков, модели и типы устройств (и группировать по ним).
Статистика атак: уязвимости
Этот набор данных и связанные с ним визуализации предоставляют ежедневный снимок атак, зафиксированных нашей сетью ханипот-датчиков, с акцентом на уязвимостях, используемых в этих целях. К ним относится возможность просмотра продуктов, которые чаще всего подвергаются атакам, и изучения способов их атаки (например, какая уязвимость использовалась, что может включать использование конкретного CVE). Можно также просматривать диаграммы по источникам атак и назначениям.
Существуют аналогичные диаграммы с визуализацией, такие как в разделе «Общая статистика», но вместо использования источников и тегов можно просматривать поставщиков, уязвимости, источник и назначение атак (и группировать по ним).
Добавлена дополнительная категория визуализации под названием «Мониторинг»:
Это ежедневно обновляемая таблица наиболее часто используемых уязвимостей, сгруппированных по уникальным IP-адресам источников, с которых осуществляются атаки (или попытки атак, если выбран параметр для отображения статистики по попыткам подключения). Данные получены из нашей сети ханипот-датчиков. Данные сгруппированы по использованным уязвимостям. Она также содержит сопоставления известных используемых уязвимостей CISA (включая информацию о том, известно ли об использовании уязвимости группой программ-вымогателей), а также в ней указывается, направлена ли атака на устройство Интернета вещей, а не на серверное приложение.
По умолчанию в представлении отображаются наиболее распространенные уязвимости, используемые во всем мире, но также можно фильтровать данные по конкретной стране или группе либо отобразить таблицу аномалий.
Статистика атак: устройства
Этот набор данных и связанные с ним визуализации предоставляют ежедневный снимок типов атакующих устройств, обнаруженных нашей сетью ханипот-датчиков. Создание цифровых отпечатков этих устройств происходит в результате наших ежедневных сканирований. Наборы данных, позволяющие отслеживать конкретные типы атак, поставщиков или модели устройств, можно фильтровать по странам.
Существуют аналогичные диаграммы, такие как в разделе «Общая статистика», но вместо использования источников и тегов можно просматривать тип атаки, поставщика устройства или модель устройства (и группировать по ним).
Добавлена дополнительная категория визуализации под названием «Мониторинг»:
Это ежедневно обновляемая таблица наиболее часто встречающихся атакующих устройств с зафиксированными уникальными IP-адресами источников, с которых осуществляются атаки (или попытки атак, если выбран параметр для отображения статистики по попыткам подключения). Как и в случае всех наборов данных, представленных в этой категории, эти данные получены из нашей сети ханипот-датчиков. Они сгруппированы по типу обнаруженной атаки, поставщику и модели (если доступно). Мы определяем атакующее устройство, коррелируя наблюдаемые IP-адреса с результатами ежедневного сканирования цифровых отпечатков устройств (см. раздел «Статистика устройств Интернета вещей»).
По умолчанию в этом представлении отображаются наиболее распространенные атакующие устройства (отталкиваясь от источника), зафиксированные во время атак (это включает случаи, когда не удается идентифицировать устройство или, например, удается определить только его поставщика). Также можно фильтровать данные по конкретной стране или группе либо отобразить таблицу аномалий.