Overview ng Dashboard
Nagbibigay ang Shadowserver Dashboard ng mataas na antas ng istatistika na sumasalamin sa pangunahing mga dataset na kinokolekta ng Shadowserver at ibinabahagi gamit ng kanyang araw-araw na gawain sa lampas 100 pang araw-araw na ulat. Pinahihintulutan ng mga dataset ang pagtukoy ng mga lantad na attack surface, kahinaan, maling konpigurasyon, mga kompromiso pati na rin mga obserbasyon ng pag-atake. Ang datos, ibinahagi sa anyo ng mga ulat, ay naglalaman ng detalyadong IP level na impormasyon patungkol sa isang partikular na network o kasamahan. Ang Shadowserver Dashboard ay hindi nagpapahintulot para sa ganitong antas ng granularity. Sa halip ito ay nagbibigay ng mataas na antas ng istatistika na sumasalamin sa mga ganitong gawain. Nagpapahinmtulot ito sa mga insight na maging pinakabagong umuusbong na banta, kahinaan, mga insidenteng naglalaan ng kamalayan sa sitwasyon patungo sa mas malawak na pamayanan habang pinananatili ang pagtatago sa kaugnayan ng mga partido.
Mga pinagmulan at tag
Ang presentasyon ng datos ay isinaayos sa palibot ng mga pinagkukunan at tag. Ang isang source (pinagkukunan) ay ang isang pag-grupo ng datos ayon sa ilang anyo. Ang mga pangunahing pinagkukunan ay honeypot
, population
, scan
, sinkhole
. Parehong ang populasyon at scan at batay sa pag-scan na mga dataset na may populasyon na siyang exposure endpoint count nang walang kahinaan/pagtatantya ng seguridad. Ang 6
na suffix ay kumakatawan sa IPv6 na datos (ang lahat ng mga entry na walang suffix ay tumutukoy sa IPv4 na datos).
Ang mga sources ay maaaring magkaroon ng mga tag na kaugnay sa kanila na naglalaan ng karagdagang konteksto para sa datos na inilalahad. Halimbawa, ang mga tag para sa scan
ay kabibilangan ng aktwal na pagkakaiba ng mga uri ng scan (hal. mga serbisyo/protokol na ini-iscan tulad ng telnet
, ftp
at rdp
). Ang mga tag para sa sinkhole
ay magpapakita ng aktwal na pamilya ng malware na kumukunekta sa isang sinkhole (hal. mga host na infected ng isang uri ng pamilya ng malware tulad ng adload
, andromeda
at necurs
).
Naglalaan ang mga tag ng karagdagang mga insight sa datos na inilahad.
Karagdagan kami ay nagpakilala ng karagdagang mga paggrupo ng source upang mas maipakita ang mga obserbasyon sa kahinaan o nakompromisong mga hosts - halimbawa, http_vulnerable
o compromised_website
. Ang mga ito ay karaniwang maglalaan ng mga tag na nagpapakita ng tiyak na kahinaang CVE, nagtitinda o mga produktong apektado o impormasyon tungkol sa mga backdoor, webshell o implant na mga nakita. Ang isang halimbawa para sa http_vulnerable
ay ang citrix
o cve-2023-3519
.
Sa huli kami ay nagdagdag ng mas maraming deteksyon sa ating mga dataset na nagdulot ng mas maraming mga tag. Nangangahulugan ito na maaaring lumabas ang mga bagong kategorya ng source na maaaring pagpilian. Halimbawa, kahit na ang snmp
ay isang tag na makikita sa source scan
, ito rin ay itinatampok bilang isang source. Pinahihintulutan tayo nito na magpakita ng mas maraming granular snmp na resulta sa pag-scan na nagpapahintulot para ma-view ang mga tukoy na snmp scan na resultang kaugnay sa kahinaan tulad ng cve-2017-6736
.
Mabilisang mga link sa kategorya ng datos: Bar sa kaliwang nabigasyon
Ang mga ipinakitang dataset at kinolekta gamit ang iba't ibang mga malakihang paraan sa pagkoleta kabilang ang pag-sinkhole, pag-scan at honeypot. Ang pangunahing kategorya ng mga dataset ay ibinahagi sa bar ng kaliwang nabigasyon, na ang bawat uri ng kategorya ay may simbolo na kakaibang icon.
Ang mithiin ay magkaroon ng mas mabilis na pagsisid patungo sa partikular na kategorya ng source. Halimbawa: mga
-
Sinkhole - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng source na
sinkhole
. Maaari mong ma-view ang isang partikular na resulta ng sinkhole sa pagpili ng isang tag o grupo ng mga tag. -
Scan - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng source na
scan
(naglalaman ang kategoryang ito ng mga resulta ng scan para sa mga serbisyo na mayroong ilang uri ng isyu sa seguridad na kalakip nila, maaari mo rin sa halip na ma-view ang resulta na pag-scan sa populasyon sa pagpili ng source napopulation
). Maaari mo na ma-view ang isang partikular na resulta ng scan sa pagpili ng isang tag o grupo ng mga tag. -
Honeypot - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng source na
honeypot
. Maaari mong ma-view ang isang partikular na resulta ng honeypot sa pagpili ng isang tag o grupo ng mga tag. -
DDoS - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng source na
honeypot_ddos_amp
. Ang mga ito ay pagpapalawig ng mga pag-atake ng DDoS na nakita ng mga kakaibang target sa isang bansa/rehiyon. Maaari mong ma-view ang isang partikular na paraan ng pagpapalawig gamit ang pagpili ng isang tag o grupo ng mga tag. -
ICS - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng source na
ics
(na siyang mga resulta ng scan ng native na mga protokol ng Industrial Control Systems). Maaari mong ma-view ang mga native na protokol gamit ang pagpili ng isang tag o grupo ng mga tag. -
Mga Web CVE - naglalaan ng pangkalahatan ng mga dataset na nagrupo ng
http_vulnerable
andexchange
. Ang mga ito ay mga may kahinaang aplikayon sa web na tinukoy ng ating mga pag-scan na karaniwang gamit ang CVE. Maaari mong makita ang mga CVE o mga apektadong produkto sa pagpili ng isang tag o grupo ng mga tag.
Maaaring masala ang mga dataset gamit ang bansa o paggrupo sa bansa, rehiyon at kontinente.
Ang bawat dataset ay inilalarawan din sa "About this data" ("Tungkol sa datos na ito")
Mangyaring tandaan na marami pang mga dataset ang magagamit maliban sa mga binanggit. Halimbawa, ang source na beacon
ay magpapahintulot sa iyo na tuklasin ang post-exploitation framework na mga C2 na ating nakikita sa ating mga pag-scan, at ang source na compromised_website
ay magpapahintulot sa iyo na tuklasin ang mga nakompromisong mga web endpoint na nakita sa ating mga pag-scan.
Bar ng tuktok na navigation
Ang bar ng tuktok na nabigasyon ay nagpapahintulot para sa iba't ibang mga opsyon sa biswalisasyon para sa presentasyon ng datos, pati na rin para sa biswalisasyon ng identipikasoyn ng device at mga dataset sa obserbasyon ng pag-atake.
Pangkalahatang istatistika
Kabilang ang pangkalahatang istatistika ang kakayahan na mabiswalays ang anumang source at tag sa pagpili ng:
- World map - isang mapa ng mundo na ipinapakita ang piniling mga source at tag. Kabilang sa mga karagdagang tampok ang: kakayahan na maglipat ng display upang ipakita ang pinaka karaniwang tag kada bansa kada source, normalization ng populasyon, GDP, connect user atbp. Maaari mo rin piliin ang mga tanda sa mapa na ipakita ang mga nilalaman kada bansa.
- Region map - isang display ng antas ng bansa na mapa na may mga bansa na nahahati sa mga rehiyon at probinsya.
- Comparison map - isang mapa ng pagkukumpara ng dalawang bansa.
- Time series - isang tsart na nagpapakita ng kombinasyon ng source at tag sa paglipas ng oras. Tandaan na ito ay nagpapahintulot para sa iba't ibang uri ng paggrupo ng datos (hindi bansa lamang).
- Visualization - nag-aalok ng iba't ibang mga opsyon ng pagmina patungo sa mga datasets, kabilang ng karaniwang mga laman sa paglipas ng oras. Nagpapahintulot para mai-display ang datos sa anyo ng mga talaan, bar chart, bubble diagram at marami pa.
Mga istatistika ng IoT device (istatistika ng iditipikasyon ng device)
Ang dataset at kaugnay na mga biswalisasyon na ito ay naglalaan ng pang araw-araw na snapshot ng nalantad na mga endpoint na nagrupo ng nalantad na mga nagtitinda at kanilang mga produktong tinukoy gamit ang ating mga pag-scan. Kinakategorya ng natitinda, modelo at uri ng device ang datos. Tinukoy ang mga ito gamit ang iba't ibang mga paraan, kabilang ang nilalaman ng web page, SSL/TLS certificate, banner na nai-display atbp. Naglalaman ang mga dataset ng datos ng populasyon lamang hal. walang pagsusuri ang ginawa sa anumang kahinaan na kaugnay sa mga nalantad na mga endpoint upangmakita ang mga, piniling source tulad ng halimbawa na sa halip na http_vulnerable
sa ilalim ng “General statistics”).
May mga katulad na tsart sa biswalisasyon tulad ng sa “General statistics”, na may kaibahan na sa halip na gamitin ang mga source at tag maaari mong ma-view (at magrupo gamit ang) mga vendor, modelo at uri ng device.
Mga istatistika ng atake: Mga Kahinaan
Ang dataset at kaugnay na mga biswalisasyon na ito ay naglalaan ng pang araw-araw na snapshot ng mga atake na nakikita ng ating honeypot sensor na network, na may pokus sa mga kahinaang ginamit para sa pagsasamantala. Kabilang dito ang kakayahan na ma-view ang mga produkto na pinaka karaniwang inaatake at upang matuklas kung paano sila inaatake (hal. ang paraan ng kanilang pagsasamantala sa kahinaan, na maaaring kabilangan ng partikular na CVE na pinagsasamantalahan). Maaari mo rin ma-view ang mga tsart ng source ng pag-atake at mga destinasyon.
May mga katulad na tsart sa biswalisasyon tulad ng sa “General statistics”, na may kaibahan na sa halip na gamitin ang mga source at tag maaari mong ma-view (at magrupo gamit ang) vendor, vulnerability pati na rin ang source at destinasyon ng mga atake.
Isang karagdagang kategorya ng biswalisasyon - Idinagdag din ang monitoring:
Ito ay isang napapanahong pang araw-araw na talaan ng pinaka karaniwang pinagsamantalahang kahinaan na nagrupo ng kakaibang mga source ng IP na naobserbahan na umaatake (o mga nakitang pagtatangka na pag-atake, kung pipiliin mo ang istatistika sa opsyon na pagtatangkang kumunekta sa koneksyon). Ang datos ay kinuha mula sa ating honeypot sensor network. Nagrupo ang datos gamit ang pinagsamantalahang kahinaan. Ito rin ay kinabibilangan ng CISA Known Exploited Vulnerability na mga mapping (kabilang kung ito may ay alam na pinagsamantalahan ng isang grupo ng ransomware) pati na rin kung ang pag-atake ay laban sa mga device na IoT kaysa sa mga aplikasyon na server.
Sa default ipinapakita ng display ang pinakakaraniwang kahinaan na pinagsamantalahan sa buong mundo, ngunit maaari mo rin salain gamit ang parttikular na bansa o paggrupo o sa halip ay pag-display ng isang talaan ng anomalya.
Mga istatistika ng atake: Mga Device
Ang dataset at kaugnay na biswalisasyon na ito ay naglalaan ng pang araw-araw na snapshot ng mga uri ng pag-atake sa mga device na nakita ng ating honeypot sensor na network. Ang pag-fingerprint ng mga device na ito ay ginawa sa ating pang araw-araw na pag-scan. Nagpapahintulot ang mga dataset na ma-track ang partikular na uri ng pag-atake, nagbebenta ng device o modelo at maaaring masala gamit ang bansa.
Mayroong mga kaparehong tsart tulad sa “General statistics”, na may pagkakaiba na sa halip ng paggamit ng mga source at tag maaari mong ma-can view (at magrupo gamit ang) uri ng pag-atake, device ng nagtitinda o modelo sa halip.
Isang karagdagang kategorya ng biswalisasyon - Idinagdag din ang monitoring:
Ito ay isang naisapanahong pang araw-araw na talaan ng pinaka karaniwang mga pag-atake sa mga device na nakita gamit ang kakaibang mga source ng IP na naobserbahan na umaatake (o nakitang nagtatangakang umatake, kung iyong pipiliin ang istatistika ng opsyon na pagtatangakang kumunekta). Tulad ng lahat ng mga dataset na nai-display sa kategoryang ito kinuha ito mula sa ating honeypot sensor na network. Ito ay nagrupo bilang nakitang uri ng mga pag-atake, vendor at modelo (kung mayroon). tinutukoy namin ang device na umaatake sa paghahambing sa mga nakitang IP sa mga resulta ng ating pang araw-araw na scan na pag-fingerprint na device (tingnan ang seksoyn ng “IoT device statistics”).
Sa default ipinapakita ng display ang pinaka karaniwang device na umaatake (gamit ang source) na nakitang umaatake (kabilang dito ang mga kaso na kung saan hindi natin matukoy ang device o halimbawa, natutukoy lamang ang isang vendor). Maaari mong piliin ang pagsala gamit ang isang partikular na bansa o paggrupo o sa halip ay pag-display ng isang talaan ng anomalya.