Përmbledhja e panelit të kontrollit
Paneli i kontrollit të Shadowserver paraqet statistika të nivelit të lartë që pasqyrojnë grupet kryesore të të dhënave që Shadowserver mbledh dhe ndan përmes aktiviteteve të tij të përditshme në mbi 100 raporte ditore. Grupet e të dhënave mundësojnë identifikimin e sipërfaqes së ekspozuar të sulmit, dobësitë, konfigurimet e gabuara, komprometimet e rrjeteve, si dhe vëzhgimet e sulmeve. Të dhënat, të ndara në formën e raporteve, përmbajnë informacion të detajuar të nivelit IP në lidhje me një rrjet ose njësi të caktuar. Paneli i kontrollit të Shadowserver nuk e lejon këtë nivel të hollësishëm. Në vend të kësaj, ai paraqet statistika të nivelit të lartë që pasqyrojnë këto aktivitete. Kjo mundëson njohuri për kërcënimet, dobësitë, incidentet më të fundit në zhvillim, duke siguruar ndërgjegjësimin e situatës për komunitetin e gjerë dhe duke ruajtur anonimitetin e çdo pale të përfshirë.
Burimi dhe etiketat
Prezantimi i të dhënave organizohet rreth sources dhe tags. Një burim është në thelb një grupim i të dhënave të një forme. Burimet bazë janë honeypot
, population
, scan
, sinkhole
. Si popullsia ashtu edhe skanimi janë grupe të dhënash të bazuara në skanim, ku popullsia është një numërim i pikës fundore të ekspozimit pa vlerësim të cenueshmërisë/sigurisë. Një prapashtesë 6
përfaqëson të dhënat IPv6 (të gjitha hyrjet pa prapashtesë i referohen të dhënave IPv4).
Burimet mund të kenë etiketa të lidhura me to që ofrojnë kontekst shtesë për të dhënat që paraqiten. Për shembull, etiketat për scan
do të përfshijnë llojet aktuale të ndryshme të skanimit (d.m.th. shërbimet/protokollet që skanohen si telnet
, ftp
dhe rdp
). Etiketat për sinkhole
do të pasqyronin familjet aktuale të malware që lidhen me një sinkhole (d.m.th. hostet e infektuar nga një lloj familjeje malware si adload
, andromeda
dhe necurs
).
Etiketat ofrojnë njohuri shtesë mbi të dhënat e paraqitura.
Përveç kësaj, ne prezantojmë edhe grupime burimore shtesë për të pasqyruar më mirë vëzhgimet mbi hostet e cenueshëm ose të komprometuar - për shembull, http_vulnerable
ose compromised_website
. Këto zakonisht do të përmbajnë etiketa që pasqyrojnë dobësitë specifike të CVE, furnizuesit ose produktet e prekura ose informacionet rreth listave bllokuese, kontrollit n; rrjet ose implanteve e vërejtura. Një shembull për http_vulnerable
do të ishte citrix
ose cve-2023-3519
.
Së fundi, ndërsa shtojmë më shumë zbulime në grupet tona të të dhënave, përfundojmë me më shumë etiketa. Kjo do të thotë se kategoritë e reja të burimeve mund të shfaqen për të zgjedhur. Për shembull, edhe pse snmp
është një etiketë e pranishme në burimin scan
, ajo gjithashtu paraqitet si burim. Kjo na mundëson të paraqesim më shumë rezultate të skanimit snmp të grimcave që lejojnë shikimin e rezultateve specifike të skanimit snmp të lidhura me një cenueshmëri si cve-2017-6736
.
Lidhjet e shpejta me kategoritë e të dhënave: Shiriti i majtë i navigimit
Grupet e të dhënave të paraqitura mblidhen përmes metodave të ndryshme të grumbullimit në shkallë të gjerë, duke përfshirë sinkholing, skanimin dhe honeypot-et. Këto kategori kryesore të grupeve të të dhënave ndahen në shiritin e majtë të navigimit, me çdo lloj kategorie të simbolizuar me një ikonë të ndryshme.
Qëllimi është të mundësojë zhytje më të shpejtë në kategori të veçanta source. Për shembull:
-
Sinkhole - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas burimit
sinkhole
. Më pas mund të shikoni një rezultat të veçantë të sinkhole duke zgjedhur një etiketë ose grup etiketash. -
Scans - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas burimit
scan
(kjo kategori përmban rezultatet e skanimit për shërbimet që kanë një lloj problemi sigurie të lidhur me to, ju gjithashtu mund të shikoni rezultatet e skanimit të popullsisë duke zgjedhur buriminpopulation
në vend të kësaj). Pastaj mund të shfaqni një rezultat të veçantë të skanimit duke zgjedhur një etiketë ose grup etiketash. -
Honeypots - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas burimit
honeypot
. Më pas mund të shikoni një rezultat të veçantë të honeypot-eve duke zgjedhur një etiketë ose grup etiketash. -
DDos - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas burimit
honeypot_ddos_amp
. Këto janë sulme DDoS të amplifikimit që shihen nga objektivat unike në një vend/rajon të caktuar. Më pas mund të shikoni një mënyrë të veçantë amplifikimi të përdorur duke zgjedhur një etiketë ose grup etiketash. -
ICS - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas burimeve
ics
(të cilat janë rezultatet e skanimit të protokolleve të sistemeve vendore të kontrollit industrial). Më pas mund të shikoni protokollet vendore të përdorura duke zgjedhur një etiketë ose grup etiketash. -
Web CVEs - ofron një përmbledhje të grupeve të të dhënave të grupuara sipas
http_vulnerable
dheexchange
. Këto janë aplikacione të cenueshme në internet të identifikuara në skanimet tona zakonisht nga CVE. Më mund të shikoni CVE-të ose produktet e prekura duke zgjedhur një etiketë ose grup etiketash.
Grupet e të dhënave mund të ndahen sipas shtetit ose grupimeve të shteteve, rajoneve dhe kontinenteve.
Çdo grup i të dhënave përshkruhet gjithashtu në “Rreth këtyre të dhënave”.
Keni parasysh se ka më shumë grupe të të dhënave të disponueshme përveç atyre të theksuara. Për shembull, burimi beacon
do t’ju mundësojë të eksploroni C2-të e kornizës pas shfrytëzimit që shohim në skanimet tona dhe burimi compromised_website
do t’ju mundësojë eksploroni pikat fundore të komprometuara të rrjetit që shihen në skanimet tona.
Shiriti i sipërm i navigimit
Shiriti i sipërm i navigimit mundëson opsione të ndryshme vizualizimi për paraqitjen e të dhënave, si dhe për vizualizimin e grupeve të të dhënave të identifikimit të pajisjes dhe vëzhgimit të sulmeve.
Statistikat e përgjithshme
Statistikat e përgjithshme përfshijnë aftësinë për të vizualizuar çdo source dhe tag duke zgjedhur:
- Harta e botës - një shfaqje e hartës së botës që tregon sources dhe tags e përzgjedhura. Veçoritë shtesë përfshijnë: aftësinë për të ndërruar ekranin për të shfaqur etiketën më të zakonshme për shtet për burim, normalizimin sipas popullsisë, BPV-në, lidhjen e përdoruesve etj. Ju gjithashtu mund të zgjidhni treguesit në hartë për të shfaqur vlerat për shtet.
- Region map - një paraqitje e hartës në nivel vendi me shtete të ndara në rajone dhe krahina.
- Comparison map - një hartë krahasuese e dy vendeve.
- Time series - një tabelë që tregon kombinimet e source dhe tag me kalimin e kohës. Keni parasysh se kjo mundëson forma të ndryshme të grupimeve të të dhënave (jo vetëm sipas shtetit).
- Visualization - ofron mundësi të ndryshme për zbulimin e detajeve të grupeve të të dhënave, duke përfshirë mesataret e vlerave me kalimin e kohës. Kjo mundëson shfaqjen e të dhënave në formën e tabelave, grafikëve të linjës, diagrameve në formë flluske e kështu me radhë.
Statistikat e pajisjes IoT (statistikat e identifikimit të pajisjes)
Ky grup i të dhënave dhe vizualizimeve përkatëse ofrojnë një pasqyrë ditore të pikave përfundimtare të ekspozuara të grupuara nga furnizuesit e ekspozuar dhe produktet e tyre të identifikuara përmes skanimeve tona. Të dhënat kategorizohen sipas furnizuesit, modelit dhe llojit të pajisjes. Këto identifikohen përmes mënyrave të ndryshme, duke përfshirë përmbajtjen e faqeve të internetit, certifikatat SSL/TLS, banerët e shfaqur etj. Grupet e të dhënave përmbajnë vetëm të dhëna për popullsinë, p.sh. nuk është bërë asnjë vlerësim i ndonjë dobësie që lidhet me pikat përfundimtare të ekspozuara (për t’i gjetur ato, zgjidhni burimet, siç janë për shembull http_vulnerable
nën “Statistikat e përgjithshme”).
Grafikët e vizualizimit të ngjashëm si në “Statistikat e përgjithshme” ekzistojnë, me ndryshimin që në vend të përdorimit të sources dhe tags në vend të tyre mund t’i shikoni (dhe gruponi sipas) vendors, models dhe device types.
Statistikat e sulmeve: Cenueshmëritë
Ky grup i të dhënave dhe vizualizimet shoqëruese ofrojnë një pamje të përditshme të sulmeve që shihen nga rrjeti ynë i censorëve të honeypot-eve, me fokus në dobësitë e përdorura për shfrytëzim. Këto përfshijnë aftësinë për të parë produktet që sulmohen më shpesh dhe për të eksploruar se si ato sulmohen (d.m.th. me anë të të cilave shfrytëzohet cenueshmëria e shfrytëzuar, e cila mund të përfshijë shfrytëzimin e veçantë të CVE). Ju gjithashtu mund të shihni grafikët sipas burimit të sulmeve dhe destinacioneve.
Grafikët e vizualizimit të ngjashëm si në “Statistikat e përgjithshme” ekzistojnë, me ndryshimin që në vend të përdorimit të sources dhe tags mund t’i shikoni (dhe gruponi sipas) vendor, vulnerability si dhe source dhe destination të sulmeve.
Një kategori shtesë e vizualizimit - Monitorimi, është shtuar gjithashtu:
Kjo është një tabelë e përditësuar ditore e dobësive më të zakonshme të shfrytëzuara të grupuara sipas IP-ve unike të vëzhguara të sulmeve (ose përpjekjeve të sulmeve të shfaqura, nëse zgjidhni opsionin statistikor të përpjekjeve për lidhje). Të dhënat janë marrë nga rrjeti jonë i censorëve të honeypot-eve. Të dhënat grupohen sipas dobësive të shfrytëzuara. Gjithashtu përfshin hartat e njohura të cenueshmërisë së shfrytëzuar të CISA (duke përfshirë nëse dihet se shfrytëzohet nga një grup ransomware), si dhe nëse sulmi është kundër një pajisjeje IoT dhe jo një aplikacioni të serverit.
Si parazgjedhje, shfaqen dobësitë më të zakonshme të shfrytëzuara për të gjithë botën, por në vend të kësaj mund të filtroni sipas vendit ose grupimit të veçantë ose të shfaqni një tabelë të anomalive.
Statistikat e sulmeve: Pajisje
Ky grup i të dhënave dhe vizualizimet shoqëruese ofrojnë një pamje të përditshme të llojeve të pajisjeve sulmuese që shihen nga rrjeti jonë i censorëve të honeypot-eve. Identifikimi i këtyre pajisjeve bëhet përmes skanimeve tona të përditshme. Grupet e të dhënave mundësojnë gjurmimin e llojeve të veçanta të sulmeve, furnizuesve të pajisjeve ose modeleve dhe mund të filtrohen sipas shtetit.
Grafikët e ngjashëm si në “Statistikat e përgjithshme” ekzistojnë, me ndryshimin se në vend të përdorimit të sources dhe tags mund t’i shikoni (dhe gruponi sipas) sulmit type të sulmit, type, pajisjes vendor ose model.
Një kategori shtesë e vizualizimit - monitorimi, është shtuar gjithashtu:
Kjo është një tabelë e përditësuar ditore e pajisjeve më të zakonshme sulmuese që shihen sipas IP-ve unike të vëzhguara të sulmeve (ose përpjekjeve të sulmeve të shfaqura, nëse zgjidhni opsionin statistikor të përpjekjeve për lidhje). Si në të gjitha grupet e të dhënave të shfaqura në këtë kategori, kjo buron nga rrjeti jonë i censorëve të honeypot-eve. Grupohet sipas llojit të sulmit të parë, furnizuesit dhe modelit (nëse është i disponueshëm). Ne përcaktojmë pajisjen sulmuese duke lidhur IP-të që shihen me rezultatet e skanimit tonë të përditshëm të gjurmimit të pajisjes (shihni seksionin “Statistikat e pajisjes IoT”).
Si parazgjedhje, shfaqen pajisjet më të zakonshme sulmuese (sipas burimit) që shihen duke sulmuar (kjo përfshin raste kur nuk mund të identifikojmë një pajisje ose për shembull, identifikojmë vetëm furnizuesin). Në vend të kësaj, mund të zgjidhni të filtroni sipas një shteti ose grupimi ose të shfaqni një tabelë të anomalive.