Översikt över Dashboard
Shadowservers instrumentpanel visar övergripande statistik som bygger på de viktigaste datamängder som Shadowserver samlar in och delar via sina dagliga aktiviteter i över 100 rapporter. Datamängderna möjliggör identifiering av den exponerade attackytan, sårbarheter, felkonfigureringar, komprometterade nätverk samt observationer av attacker. Datan, som delas i form av rapporter, innehåller detaljerad information på IP-nivå för ett specifikt nätverk eller enhet. Shadowservers instrumentpanel kan inte visa så detaljerad information. Istället presenterar den övergripande statistik som speglar dessa aktiviteter. Detta ger inblick i de senaste hoten, sårbarheterna och incidenterna, vilket ger samhället i stort en lägesbild samtidigt som alla inblandade parters anonymitet skyddas.
Källor och taggar
Data presenteras utifrån källor och taggar. En källa är i huvudsak en datagruppering av något slag. De grundläggande källorna är honeypot
, population
, scan
och sinkhole
. Både population och scan är skanningsbaserade datamängder, där population är ett antal exponerade slutpunkter utan sårbarhets-/säkerhetsbedömning. Suffixet 6
representerar IPv6-data (alla poster utan suffix avser IPv4-data).
Källor kan ha taggar som associeras med dem och som ger mer information om datan som presenteras. Till exempel innehåller taggar för scan
de olika sökningstyperna (dvs. tjänster/protokoll som genomsöks som telnet
, ftp
och rdp
). Taggar för sinkhole
skulle återspegla familjerna av skadlig kod som är kopplade till ett sinkhole (dvs. värdar som är smittade av en typ av familj med skadlig kod som adload
, andromeda
och necurs
).
Taggar ger ytterligare insikter om de data som presenteras.
Vi introducerar även ytterligare källgrupperingar för att bättre spegla observationer av sårbara eller komprometterade värdar, t.ex. http_vulnerable
eller compromised_website
. Dessa grupperingar innehåller vanligtvis taggar som anger specifika CVE-sårbarheter, berörda leverantörer eller produkter, eller information om bakdörrar, webbshells eller implantat som upptäckts. Ett exempel för http_vulnerable
skulle vara citrix
eller cve-2023-3519
.
Allteftersom vi lägger till fler upptäckter i våra datamängder får vi fler taggar. Det innebär att det kan dyka upp nya källkategorier att välja bland. Även om snmp
är en tagg på källan scan
, så finns den till exempel även som källa. Tack var detta kan vi presentera mer detaljerade snmp-skanningsresultat, vilket gör det möjligt att visa specifika snmp-skanningsresultat som är associerade med en sårbarhet som cve-2017-6736
.
Snabblänkar till datakategorier: vänster navigeringsfält
Datamängderna som presenteras samlas in via olika storskaliga insamlingsmetoder som sinkholning, skanning och honeypots. Du hittar dessa huvudkategorier i det vänstra navigeringsfältet och varje kategorityp symboliseras av en unik ikon.
Målet är att möjliggöra snabbare djupdykningar i specifika kategorier av källor. Exempelvis:
-
Sinkholes – ger en översikt över datamängder som grupperas efter källan
sinkhole
. Du kan sedan visa ett specifikt sinkholeresultat genom att välja en eller flera taggar. -
Skanningar – ger en översikt över datamängder som grupperas efter källan
scan
(denna kategori innehåller skanningsresultat för tjänster som associeras med något slags säkerhetsproblem, du kan även se resultat från befolkningsskanningar genom att välja källanpopulation
istället). Du kan sedan visa ett specifikt skanningsresultat genom att välja en eller flera taggar. -
Honeypots – ger en översikt över datamängder som grupperas efter källan
honeypot
. Du kan sedan visa ett specifikt honeypot-resultat genom att välja en eller flera taggar. -
DDoS – ger en översikt över datamängder som grupperas efter källan
honeypot_ddos_amp
. Detta är DDoS-attacker (överbelastningsattacker) som observerats av unika mål i ett specifikt land/region. Du kan sedan visa en specifik använd förstärkningsmetod genom att välja en eller flera taggar. -
ICS – ger en översikt över datamängder som grupperas efter källan
ics
(vilka är skanningsresultat från inbyggda ICS- protokoll). Du kan sedan se de använda inbyggda protokollen genom att välja en eller flera taggar. -
Webb-CVE:er – ger en översikt över datamängder som grupperas efter
http_vulnerable
ochexchange
. Dessa är sårbara webbapplikationer som identifierats i våra skanningar, vanligtvis av CVE. Du kan visa CVE:erna eller påverkade produkter genom att välja en eller flera taggar.
Datamängderna kan delas upp efter land eller landsgrupperingar, regioner och kontinenter.
Varje datamängd beskrivs även i “Om dessa data”.
Observera att det finns fler datamängder tillgängliga än de som presenteras här. Med källan beacon
kan du till exempel utforska post-exploaterings-ramverk eller C2-servrar som vi upptäcker i våra skanningar, och med källan compromised_website
kan du utforska komprometterade webbslutpunkter som vi ser i våra skanningar.
Övre navigeringfält
I det övre navigeringsfältet hittar du flera olika visualiseringsalternativ för datapresentation, samt för visualisering av datamängder för enhetsidentifiering och attackobservationer.
Allmän statistik
I Allmän statistik kan du visualisera valfri källa och tagg genom att välja:
- Världskarta – en världskarta som visar valda källor och taggar. Extrafunktioner: möjlighet att byta vy för att se den vanligaste taggen per land och källa, normalisering efter befolkning, BNP, ansluta användare etc. Du kan även välja markörer på kartan för att visa värden per land.
- Regionkarta – en karta där länderna är uppdelade i regioner och provinser.
- Jämförelsekarta – en karta där två länder jämförs.
- Tidsserier – en karta som visar käll- och tagg--kombinationer över tid. Observera att den tillåter olika former av datagrupperingar (inte bara efter land).
- Visualisering – erbjuder flera sätt att analysera datauppsättningarna på djupet, inklusive genomsnittsvärden över tid. Du kan även välja att visa data i tabeller, stapeldiagram, bubbeldiagram och mer.
Statistik över IoT-enheter (statistik över enhetsidentifiering)
Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild över exponerade slutpunkter grupperade efter exponerade leverantörer och deras produkter, som identifierats i våra skanningar. Data kategoriseras efter leverantör, modell och enhetstyp. Identifieringen sker via olika metoder, bl.a. webbsidors innehåll, SSL/TLS-certifikat, visade banners etc. Datamängderna innehåller endast befolkningsdata, dvs. det görs ingen bedömning av sårbarheter som är associerade med de exponerade slutpunkterna (för att hitta dem väljer du istället källor som http_vulnerable
under "Allmän statistik").
Liknande visualiseringsdiagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) leverantörer, modeller och enhetstyper.
Attackstatistik: sårbarheter
Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild av attacker som observerats av vårt honeypot-sensornätverk, med fokus på sårbarheter som används för exploatering. Dessa omfattar bl.a. möjligheten att visa de produkter som attackeras oftast och att utforska hur de attackeras (dvs. via vilken utnyttjad sårbarhet, vilket kan vara en specifik CVE). Du kan även visa diagram baserade på attackernas källa och mål.
Liknande visualiseringsdiagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) leverantörer, sårbarheter samt attackernas källa och destination.
Ytterligare en visualiseringskategori – Övervakning, har också lagts till:
Detta är en tabell som uppdateras dagligen och som visar de vanligaste utnyttjade sårbarheterna grupperade efter unika attackerande käll-IP-adresser (eller försök till attacker som observerats, om du väljer statistikalternativet anslutningsförsök). Data hämtas från vårt honeypot-sensornätverk och grupperas efter utnyttjade sårbarheter. Den inkluderar även kartläggning från CISA:s katalog över kända utnyttjade sårbarheter (bl.a. om sårbarheten är känd för att utnyttjas av en ransomware-grupp) samt huruvida attacken riktar sig mot en IoT-enhet istället för ett serverprogram.
Som standard visas de vanligaste utnyttjade sårbarheterna för hela världen, men du kan även filtrera efter specifika länder eller grupperingar eller välja att visa en avvikelsetabell istället.
Attackstatistik: enheter
Denna datamängd och associerade visualiseringar ger en daglig ögonblicksbild av de typer av attackerade enheter som observerats av vårt honeypot-sensornätverk. Signaturinsamling av dessa enheter görs genom våra dagliga skanningar. Datamängderna möjliggör spårning av specifika attacktyper, enhetsleverantörer eller enhetsmodeller och kan filtreras efter land.
Liknande diagram som i "Allmän statistik" finns tillgängliga, med skillnaden att du istället för att använda källor och taggar kan visa (och gruppera efter) attacktyp, enhet leverantör eller modell.
Ytterligare en visualiseringskategori – övervakning, har också lagts till:
Detta är en tabell som uppdateras dagligen och som visar de vanligaste attackerande enheterna som observerats av unika attackerande käll-IP-adresser (eller försök till attacker som observerats, om du väljer statistikalternativet anslutningsförsök). Liksom all datamängder som visas i denna kategori hämtas den från vårt honeypot-sensornätverk. Den är grupperad efter observerad attacktyp, leverantör och modell (om tillgängliga). Vi identifierar den attackerande enheten genom att korrelera observerade IP-adresser med resultaten från vår dagliga signaturinsamling genom enhetsskanning (se avsnittet "IoT-enhetsstatistik").
Som standard visas de vanligaste attackerande enheterna (efter källa) som observerats attackera (detta omfattar fall där vi inte kan identifiera en enhet eller t.ex. bara kan identifiera en leverantör). Du kan välja att filtrera efter land eller grupp, eller istället visa en avvikelsetabell.