Muhtasari wa dashibodi

Dashibodi ya Shadowserver inatoa takwimu za kiwango cha juu ambazo zinaonyesha seti kuu za data ambazo Shadowserver hukusanya na kushiriki kupitia shughuli zake za kila siku katika ripoti zaidi ya 100 za kila siku. Seti data huruhusu utambulisho wa eneo wazi wa mashambulizi, udhaifu, usanidi usio sahihi, maelewano ya mitandao kama vile uchunguzi wa mashambulizi. Takwimu, zinazoshirikiwa katika muundo wa ripoti, zina taarifa ya kina ya kiwango cha IP kuhusu mtandao fulani au eneo. Dashibodi ya Shadowserver hairuhusu kwa kiwango hiki cha uchembechembe. Badala yake inatoa takwimu za kiwango cha juu zinazoonyesha shughuli hizi. Hii inaruhusu ufahamu wa hivi karibuni kutokea vitisho, udhaifu, matukio ya kutoa hali ya ufahamu kwa jamii pana wakati wa kuhifadhi kutokujulikana kwa watu wowote wanaohusika.

Chanzo na tagi

Uwasilishaji wa data umepangwa kote sources na tags. Chanzo kimsingi ni mkusanyiko wa data wa aina fulani. Vyanzo vya msingi ni honeypot, population, scan, sinkhole. Idadi ya watu na uchanganuzi ni seti za data zilizochanganuliwa huku idadi ya watu ikiwa hesabu ya kukaribia iliyoambukizwa bila tathmini ya kuathiriwa/usalama. Kiambishi 6 tamati kinawakilisha data ya IPv6 (maingizo yote bila kiambishi tamati hurejelea data ya IPv4).

Vyanzo vinaweza kuwa na tagi zinazohusishwa nazvy ambazo hutoa muktadha wa ziada wa data inayowasilishwa. Kwa mfano, tagi za scan zitajumuisha aina tofauti za kuskani (yaani huduma/itifaki zinazochanganuliwa kama telnet, ftp na rdp). Tagi za sinkhole zingeonyesha familia halisi za programu hasidi zinazounganishwa kwenye sinkhole (yaani, wapangishi walioambukizwa na aina ya programu hasidi kama vile adload, andromeda na necurs).

Tagi hutoa ufahamu wa ziada kuhusiana na data iliyotolewa.

Zaidi ya hayo, pia tunatanguliza vikundi vya ziada vya vyanzo ili kuakisi vyema uchunguzi kuhusu wapangishi walio hatarini au walioathiriwa - kwa mfano, http_vulnerable aucompromised_website. Hizi kwa kawaida zitakuwa na tagi zinazoakisi udhaifu mahususi wa CVE, wachuuzi au bidhaa zilizoathiriwa au maelezo kuhusu milango ya nyuma, ganda la wavuti au vipandikizi vinavyoonekana. Mfano kwa http_vulnerable ungekuwacitrix au cve-2023-3519.

Mwishowe tunapoongeza vipimo zaidi kwenye seti zetu za data tunaishia na tagi zaidi. Hii inamaanisha kwamba makundi mapya ya chanzo yanaweza kuonekana kuchagua kutoka. Kwa mfano, ingawa snmp ni tagi iliyopo kwenye chanzo scan, pia imeangaziwa kama chanzo. Hii huturuhusu kuwasilisha matokeo ya uchanganuzi zaidi ya punjepunje ya snmp ambayo huturuhusu kutazama matokeo mahususi ya snmp yanayohusiana na athari kama vile cve-2017-6736.

Viungo vya haraka vya kategoria ya data: Upau wa kusogeza kushoto

Seti za data zilizotolewa ni zile zilizokusanywa kwa njia mbalimbali za ukusanyaji kwa kiwango kikubwa ikiwa ni pamoja na sinkholing, kuskani na honeypots. Haya makundi makuu ya seti za data zinashirikiwa pamoja kwenye upau wa urambazaji wa kushoto, na kila aina ya kategoria iliyo na alama na aikoni tofauti.

Lengo ni kuwezesha kupiga mbizi haraka katika kategoria source fulani. Kwa mfano:

  • Sinkholes - hutoa muhtasari wa seti za data zilizowekwa kulingana na chanzo sinkhole. Kisha unaweza kutazama matokeo fulani ya sinkhole kwa kuchagua tagi au kikundi cha tagi.
  • Scans - hutoa muhtasari wa seti za data zilizowekwa kulingana na chanzo scan (kategoria hii ina matokeo ya uchanganuzi wa huduma ambazo zina aina fulani ya suala la usalama linalohusishwa nazo, unaweza pia kuona matokeo ya uchunguzi wa idadi ya watu kwa kuchagua chanzo. population badala yake). Kisha unaweza kuona matokeo fulani ya kuskani kwa kuchagua tagi au kikundi cha tagi.
  • Honeypots - hutoa muhtasari wa seti za data zilizowekwa kulingana na chanzo honeypot. Kisha unaweza kuona matokeo fulani ya honeypot kwa kuchagua tagi au kikundi cha tagi.
  • DDoS - hutoa muhtasari wa seti za data zilizowekwa kulingana na chanzo honeypot_ddos_amp. Haya ni mashambulizi ya DDoS ya ukuzaji yanayoonekana na walengwa wa kipekee katika nchi/eneo fulani. Kisha unaweza kutazama mbinu fulani ya ukuzaji inayotumiwa kwa kuchagua tagi au kikundi cha tagi.
  • ICS - hutoa muhtasari wa seti za data zilizowekwa kulingana na chanzo ics (ambayo ni matokeo ya kuskani ya itifaki asilia za Mifumo ya Udhibiti wa Viwanda). Kisha unaweza kutazama itifaki asili zinazotumiwa kwa kuchagua tagi au kikundi cha tagi.
  • Web CVEs - inatoa muhtasari wa seti za data zilizowekwa katika vikundi http_vulnerable na exchange. Hizi ni programu za wavuti zilizo hatarini zinazotambuliwa katika skani zetu kwa kawaida na CVE. Unaweza kutazama CVE au bidhaa zilizoathiriwa kwa kuchagua tagi au kikundi cha tagi.

Seti za data zinaweza kugawanywa kulingana na nchi au vikundi vya nchi, mikoa na mabara.

Kila seti ya data pia imefafanuliwa katika "Kuhusu data hii".

Tafadhali kumbuka kuwa kuna seti za dara zaidi zinazopatikana isipokuwa zile zilizoangaziwa. Kwa mfano, chanzo beacon kitakuruhusu kuchunguza mfumo wa baada ya unyonyaji C2 tunazoziona kwenye skani zetu, na chanzo compromised_website itakuruhusu kuchunguza miisho ya wavuti iliyoathiriwa na inayoonekana kwenye skani zetu.

Upau wa kusogeza juu

Upau wa kusogeza wa juu huruhusu chaguo mbalimbali za taswira za uwasilishaji wa data, na pia kwa taswira ya kitambulisho cha kifaa na seti za data za uchunguzi wa mashambulizi.

Takwimu za jumla

Takwimu za jumla zinajumuisha uwezo wa kuona yoyote source na tag kwa kuchagua:

  • World map - onyesho la ramani ya dunia lililochaguliwa sources na tags. Vipengele vya ziada ni pamoja na: uwezo wa kubadilisha onyesho ili kuonyesha tagi inayojulikana zaidi kwa kila nchi kwa kila chanzo, kuhalalisha kulingana na idadi ya watu, Pato la Taifa, kuunganisha watumiaji nk. Unaweza pia kuchagua viweka alama kwenye ramani ili kuonyesha thamani kwa kila nchi.
  • Region map - onyesho la ramani ya kiwango cha nchi na nchi zilizogawanywa katika mikoa na majimbo.
  • Comparison map - ramani linganishi ya nchi mbili.
  • Time series - chati inayoonyesha source na tag mchanganyiko kwa muda. Kumbuka kwamba inaruhusu aina tofauti za vikundi vya data (sio tu kulingana na nchi).
  • Visualization - inatoa chaguo mbalimbali za kuchimba kwenye seti za data, ikijumuisha wastani wa thamani kwa wakati. Huruhusu kuonyesha data katika mfumo wa majedwali, chati za pau, michoro ya viputo na zaidi.

Takwimu za kifaa cha IoT (takwimu za utambulisho wa kifaa)

Seti hii ya data na taswira zinazohusiana hutoa muhtasari wa kila siku wa miishio iliyofichuliwa ikiwa imepangwa na wachuuzi waliofichuliwa na bidhaa zao zinazotambuliwa kupitia ukaguzi wetu. Data imeainishwa na muuzaji, muundo na aina ya kifaa. Hizi zinatambuliwa kupitia njia mbalimbali, ikiwa ni pamoja na maudhui ya ukurasa wa wavuti, vyeti vya SSL/TLS, mabango yanayoonyeshwa nk. Seti za data zina data ya idadi ya watu pekee, yaani hakuna tathmini inayofanywa ya udhaifu wowote unaohusishwa na miishio iliyofichuliwa (ili kupata hizo, chagua vyanzo kama vile kwa mfano http_vulnerable chini ya "Takwimu za Jumla" badala yake).

Chati za taswira sawa na katika "Takwimu za Jumla" zipo, tofauti ikiwa hiyo badala ya kutumia sources na tags unaweza kuangalia (na kuweka katika vikundi) wachuuzi, models na aina za kifaa badala yake.

Takwimu shambulizi: Athari

Hii seti ya data na taswira zinazohusishwa hutoa kila siku picha ya mashambulizi kuonekana na mtandao wetu wa senza ya honeypot, kwa lengo la udhaifu kutumika kwa ajili ya unyonyaji. Hizi ni pamoja na uwezo wa kuona bidhaa ambazo mara nyingi hushambuliwa na kuchunguza jinsi zinavyoshambuliwa (yaani na ambayo udhaifu huathiriwa, ambayo inaweza kujumuisha CVE maalum kuwa imeathiriwa). Unaweza pia kuona chati kwa chanzo cha mashambulizi na fikio.

Chati za taswira sawa na katika "Takwimu za Jumla" zipo, tofauti ikiwa hiyo badala ya kutumia sources na tags unaweza kuona (na kuweka katika vikundi) vendor, vulnerability kama vile chanzo na fikio la mashambulio.

Kategoria ya ziada ya taswira - Ufuatiliaji, pia imeongezwa:

Hii ni jedwali la kila siku lililosasishwa kwa udhaifu wa kawaida unaowekwa pamoja na IP za kipekee za vyanzo zilizoonekana zikishambulia (au majaribio ya mashambulizi yaliyoonekana, ikiwa wewe utachagua chaguo la takwimu za majaribio ya muunganisho). Takwimu zinatoka kwenye mtandao wetu wa senza ya honeypot. Takwimu iwekwa pamoja kwa makundi kulingana na udhaifu unaotumiwa. Pia inajumuisha ramani za Udhaifu unaojulikana wa CISA (pamoja na ikiwa inajulikana kutumiwa na kikundi cha ransomware) na ikiwa shambulio ni dhidi ya kifaa cha IoT badala ya programu ya seva.

Kwa chaguo-msingi onyesho huonyesha udhaifu wa kawaida unaotumiwa duniani kote, lakini unaweza pia kuchuja kulingana na nchi fulani au kwa kuweka kwenye makundi au kuonyesha jedwali la hitilafu badala yake.

Takwimu shambulizi: Vifaa

Seti hii ya data na taswira zinazohusishwa hutoa muhtasari wa kila siku wa aina ya vifaa vya kushambulia vinavyoonekana na mtandao wetu wa senza ya honeypot. Uchapishaji wa vidole vya vifaa hivi hufanywa kupitia skani zetu za kila siku. Seti za data huruhusu ufuatiliaji wa aina mahususi za mashambulizi, wachuuzi wa vifaa au modeli na zinaweza kuchujwa kulingana na nchi.

Chati sawa kama "Takwimu za Jumla" zilizopo, na tofauti ikiwa hiyo badala ya kutumia sources na tags unaweka kuangalia (na kuweka katika vikundi kwa) shambulio aina, kifaa vendor au modeli badala yake.

Kategoria ya ziada ya taswira - ufuatiliaji, pia imeongezwa:

Hili ni jedwali la kila siku lililosasishwa la vifaa vya kawaida vya kushambulia vinavyoonekana na vyanzo vya kipekee vya IP vinavyoonekana vikishambulia (au majaribio ya kushambulia yanaonekana, ukiteua chaguo la takwimu la majaribio ya kuunganisha). Kama ilivyo katika seti zote za data zilizoonyeshwa katika kategoria hii imetolewa kutoka kwa mtandao wetu wa sensa ya honeypot. Imewekwa katika vikundi kulingana na aina ya shambulio inayoonekana, muuzaji na modeli (ikiwa inapatikana). Tunabainisha kifaa kinachoshambulia kwa kuunganisha IP zinazoonekana na matokeo ya alama za vidole za kila siku za kuchanganua kifaa (angalia sehemu ya "takwimu za kifaa cha IoT").

Kwa chaguo-msingi onyesho huonyesha vifaa vya kawaida vya kushambulia (kwa chanzo) vinavyoonekana vikishambulia (hii ni pamoja na hali ambapo hatuwezi kutambua kifaa au kwa mfano, kutambua muuzaji pekee). Unaweza kuchagua kuchuja kulingana na nchi fulani au kupanga kikundi au kuonyesha jedwali la hitilafu badala yake.

Utengenezaji wa Dashibodi ya Shadowserver ulifadhiliwa na UK FCDO. Takwimu za alama za vidole za kifaa cha IoT na takwimu za shambulio la honeypot zinafadhiliwa na Kituo cha Connecting Europe Facility cha Umoja wa Ulaya. (Mradi wa EU CEF VARIoT).

Tungependa kuwashukuru washirika wetu wote wanaochangia kwa data inayotumika kwenye Dashibodi ya Shadowserver, ikijumuisha (kwa alfabeti) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Chuo Kikuu cha Kitaifa cha Yokohama na wale wote waliochagua kutojulikana kwa majina.

Shadowserver hutumia vidakuzi kukusanya uchanganuzi. Hii huturuhusu kupima jinsi tovuti inatumiwa na kuboresha matumizi kwa watumiaji wetu. Kwa habari zaidi kuhusu vidakuzi na jinsi Shadowserver inazitumia, angalia sera yetu ya faragha. Tunahitaji idhini yako ili tutumie vidakuzi kwa njia hii kwenye kifaa chako.