Pregled nadzorne plošče
Nadzorna plošča Shadowserver predstavlja statistične podatke na visoki ravni, ki odražajo glavne nize podatkov, ki jih Shadowserver zbira in deli v okviru svojih dnevnih dejavnosti v več kot 100 dnevnih poročilih. Nabori podatkov omogočajo prepoznavanje izpostavljene površine napadov, ranljivosti, napačnih konfiguracij, ogroženosti omrežij kot tudi opazovanja napadov. Podatki, ki se delijo v obliki poročil, vsebujejo podrobne informacije na ravni IP v zvezi z določenim omrežjem ali skupino. Nadzorna plošča Shadowserver ne omogoča te stopnje razdrobljenosti. Namesto tega predstavlja statistiko na visoki ravni, ki odraža te dejavnosti. To omogoča vpogled v najnovejše nastajajoče grožnje, ranljivosti in incidente ter s tem ozavešča širšo skupnost, hkrati pa ohranja anonimnost vseh vpletenih strani.
Viri in oznake
Predstavitev podatkov je organizirana na podlagi virov in oznak. Vir je v bistvu skupina podatkov neke oblike. Osnovni viri so honeypot
, population
, scan
, sinkhole
. Tako populacija kot skeniranje sta niza podatkov, ki temeljijo na skeniranju, pri čemer je populacija štetje končne točke izpostavljenosti brez ocene ranljivosti/varnosti. Pripona 6
predstavlja podatke IPv6 (vsi vnosi brez te pripone se nanašajo na podatke IPv4).
Viri imajo lahko povezane oznake, ki zagotavljajo dodaten kontekst za predstavljene podatke. Oznake za scan
bodo na primer vključevale dejanske različne vrste skeniranja (tj. storitve/protokoli, ki se skenirajo, kot so telnet
, ftp
in rdp
). Oznake za sinkhole
bi odražale dejanske družine zlonamerne programske opreme, ki se povezujejo z vrtačo (tj. gostitelji, okuženi z vrsto družine zlonamerne programske opreme, kot je adload
, andromeda
in necurs
).
Oznake nudijo dodatne vpoglede v predstavljene podatke.
Poleg tega uvajamo tudi dodatne skupine virov, da bolje odražamo opažanja o ranljivih ali ogroženih gostiteljih – na primer http_vulnerable
ali compromised_website
. Običajno vsebujejo oznake, ki odražajo specifične ranljivosti CVE, prizadete prodajalce ali izdelke ali informacije o opaženih stranskih vratih, spletnih lupinah ali vsadkih. Primer za http_vulnerable
bi bil citrix
ali cve-2023-3519
.
Z dodajanjem več zaznav v naše nabore podatkov, dobimo več oznak. To pomeni, da se lahko pojavijo nove kategorije virov, med katerimi lahko izbiramo. Na primer: čeprav je snmp
oznaka, ki je prisotna na izvornem scan
, je tudi prikazana kot vir. To nam omogoča, da predstavimo natančnejše rezultate skeniranja snmp, ki omogočajo ogled specifičnih rezultatov skeniranja snmp, povezanih z ranljivostjo, kot je cve-2017-6736
.
Hitre povezave do kategorij podatkov: Leva navigacijska vrstica
Predstavljeni nizi podatkov so zbrani z različnimi obsežnimi metodami zbiranja, vključno s pogrezanjem, skeniranjem in honeypoti. Te glavne kategorije naborov podatkov se delijo s pomočjo leve navigacijske vrstice, pri čemer vsako vrsto kategorije označuje drugačna ikona.
Cilj je omogočiti hitrejše poglabljanje v določene kategorije virov. Na primer:
-
Vrtača – nudi pregled naborov podatkov, razvrščenih glede na vir
sinkhole
. Nato si lahko ogledate določen rezultat vrtače tako, da izberete oznako ali skupino oznak. -
Skeniranje – nudi pregled naborov podatkov, razvrščenih glede na vir
scan
(ta kategorija vsebuje rezultate skeniranja za storitve, povezane z določeno vrsto varnostnih težav. Lahko si ogledate tudi rezultate skeniranja populacije tako, da namesto tega izberete izvornopopulation
). Nato si lahko ogledate določen rezultat skeniranja tako, da izberete oznako ali skupino oznak. -
Honeypoti – nudi pregled naborov podatkov, razvrščenih glede na vir
honeypot
. Nato si lahko ogledate določen rezultat honeypota tako, da izberete oznako ali skupino oznak. -
DDoS – nudi pregled naborov podatkov, razvrščenih glede na vir
honeypot_ddos_amp
. To so ojačani napadi DDoS, ki jih zaznajo edinstvene tarče v določeni državi/regiji. Nato si lahko ogledate uporabljeno metodo ojačenja tako, da izberete oznako ali skupino oznak. -
ICS – nudi pregled naborov podatkov, razvrščenih glede na vir
ics
(ki so rezultati skeniranja izvornih protokolov industrijskih nadzornih sistemov). Nato si lahko ogledate uporabljene izvorne protokole tako, da izberete oznako ali skupino oznak. -
Spletni CVE – nudi pregled naborov podatkov, razvrščenih glede na
http_vulnerable
inexchange
. To so ranljive spletne aplikacije, ki jih pri naših skenih običajno odkrije CVE. CVE-je ali prizadete izdelke si lahko ogledate tako, da izberete oznako ali skupino oznak.
Nabore podatkov je mogoče razčleniti po državah ali skupinah držav, regijah in celinah.
Vsak nabor podatkov je opisan tudi v razdelku »O teh podatkih«.
Upoštevajte, da je poleg označenih na voljo več nizov podatkov. Izvorni beacon
vam bo na primer omogočil raziskovanje ogrodja C2 po izkoriščanju, ki ga zaznamo v naših skenih, izvorni compromised_website
pa vam bo omogočil raziskovanje ogroženih spletnih končnih točk, ki jih vidimo v naših skenih.
Zgornja navigacijska vrstica
Zgornja navigacijska vrstica omogoča različne možnosti vizualizacije za prikaz podatkov, kot tudi za vizualizacijo identifikacije naprav in naborov podatkov za opazovanje napadov.
Splošna statistika
Splošna statistika vključuje možnost vizualizacije katerega koli vira in oznake, tako da izberemo:
- Zemljevid sveta – prikaz zemljevida sveta, ki prikazuje izbrane vire in oznake. Dodatne funkcije vključujejo: možnost preklopa prikaza za prikaz najpogostejše oznake na državo na vir, normalizacijo glede na prebivalstvo, BDP, povezane uporabnike itd. Za prikaz vrednosti na državo lahko izberete tudi označevalce na zemljevidu.
- Zemljevid regij – prikaz zemljevida na ravni države, kjer so države razdeljene na regije in province.
- Primerjalni zemljevid – primerjalni zemljevid dveh držav.
- Časovna vrsta – grafikon, ki prikazuje kombinacije vira in oznak skozi čas. Upoštevajte, da omogoča različne oblike združevanja podatkov (ne le po državah).
- Vizualizacija – ponuja različne možnosti poglobitve v nabore podatkov, vključno s povprečji vrednosti skozi čas. Omogoča prikazovanje podatkov v obliki tabel, paličnih grafikonov, mehurčastih grafikonov ipd.
Statistika naprav IoT (statistika prepoznavanja naprav)
Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek izpostavljenih končnih točk, razvrščenih po izpostavljenih prodajalcih in njihovih izdelkih, ki so jih naši skeni prepoznali. Podatki so razvrščeni glede na prodajalca, model in vrsto naprave. Te prepoznamo z različnimi sredstvi, vključno z vsebino spletne strani, potrdili SSL/TLS, prikazanimi pasicami itd. Podatkovni nizi vsebujejo le podatke o populaciji, tj. ne ocenijo se morebitne ranljivosti, povezane z izpostavljenimi končnimi točkami (če jih želite poiskati, namesto tega izberite vire, kot je na primer http_vulnerable
pod razdelkom »Splošna statistika«).
Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) prodajalce, modele in vrste naprav.
Statistika napadov: Ranljivosti
Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek napadov, ki jih zazna naše omrežje senzorjev honeypot, s poudarkom na ranljivostih, ki se uporabljajo za izkoriščanje. Ti vključujejo zmožnost ogleda najpogosteje napadenih izdelkov in preverjanja načina napada (tj. s katero izkoriščeno ranljivostjo, ki lahko vključuje določen izkoriščen CVE). Ogledate si lahko tudi grafikone glede na vir napadov in cilje.
Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) prodajalca, ranljivost ter vir in cilj napadov.
Dodana je tudi dodatna kategorija vizualizacije »Spremljanje«:
To je posodobljena dnevna tabela najpogostejših izkoriščenih ranljivosti, razvrščenih po edinstvenih izvornih IP-jih, ki so bili opaženi pri napadih (ali opaženih poskusih napadov, če izberete možnost statistike poskusov povezav). Podatki izvirajo iz našega omrežja senzorjev honeypot. Podatki so razvrščeni glede na izkoriščene ranljivosti. Vključuje tudi preslikave znanih izkoriščenih ranljivosti CISA (vključno s tem, ali je znano, da jo izkorišča skupina izsiljevalske programske opreme) ter ali je napad usmerjen proti napravi IoT in ne strežniški aplikaciji.
Zaslon privzeto prikazuje najpogostejše ranljivosti, izkoriščene za ves svet, lahko pa tudi filtrirate po določeni državi ali skupini ali namesto tega prikažete tabelo anomalij.
Statistika napadov: Naprave
Ta nabor podatkov in povezane vizualizacije zagotavljajo dnevni posnetek vrst napadalnih naprav, ki jih zazna naše omrežje senzorjev honeypot. Prstne odtise teh naprav izvedemo z našimi dnevnimi skeni. Nabori podatkov omogočajo sledenje določenim vrstam napadov, prodajalcem naprav ali modelom in jih je mogoče filtrirati po državah.
Obstajajo podobni grafikoni ponazoritve kot v razdelku »Splošni statistiki«, s to razliko, da si lahko namesto uporabe virov in oznak ogledate (in razvrstite po) vrsto, prodajalca naprave ali model.
Dodana je tudi dodatna kategorija vizualizacije »Spremljanje«:
To je posodobljena dnevna tabela najpogostejših napadalnih naprav, razvrščenih po edinstvenih izvornih IP-jih, ki so bili opaženi pri napadih (ali opaženih poskusih napadov, če izberete možnost statistike poskusov povezav). Tako kot vsi nabori podatkov, prikazani v tej kategoriji, izvira iz našega omrežja senzorjev honeypot. Razvrščena je v skupine po vrsti napada, prodajalcu in modelu (če je na voljo). Napadajočo napravo določimo tako, da IP-je povežemo z rezultati našega dnevnega skeniranja prstnih odtisov naprave (glejte razdelek »Statistika naprav IoT«).
Zaslon privzeto prikazuje najpogostejše napadalne naprave (glede na vir), za katere je bilo ugotovljeno, da napadajo (to vključuje primere, ko ne moremo prepoznati naprave ali na primer samo prepoznamo prodajalca). Filtrirate lahko po določeni državi ali skupini ali namesto tega prikažete tabelo anomalij.