Pano genel görünümü
Shadowserver Panosu, Shadowserver’ın topladığı ve günlük 100’den fazla rapor aracılığıyla paylaştığı ana veri kümelerini yansıtan üst düzey istatistikler içerir. Veri kümeleri; risk altındaki saldırı yüzeyi, güvenlik açıkları, yanlış yapılandırmalar, etkilenen ağlar ve saldırı gözlemlerinin belirlenmesine olanak tanır. Rapor biçiminde paylaşılan veriler, belirli bir ağ veya bölge ile ilgili ayrıntılı IP düzeyinde bilgiler içerir. Shadowserver Panosu, bu düzeyde ayrıntı içermez. Bunun yerine bu etkinlikleri içeren üst düzey istatistikler sunar. Bu, en yeni ortaya çıkan tehditler, güvenlik açıkları ve olaylar ile geniş bir topluluk için durumsal farkındalık oluştururken dahil olan tarafların kimliğini de korur.
Kaynaklar ve etiketler
Veri sunumu, kaynaklar ve etiketler etrafında organize edilir. Kaynaklar, temel olarak bir biçim veri gruplandırmasıdır. Temel kaynaklar arasında honeypot
, population
, scan
ve sinkhole
yer alır. Popülasyon ve tarama, tarama temelli veri kümeleri olup popülasyon, bir güvenlik açığı/güvenlik değerlendirmesi olmadan yapılan bir risk uç noktası sayısıdır. 6
son eki, IPv6 verilerini temsil eder (son eki olmayan tüm girişler IPv4 verilerini temsil eder).
Kaynaklar, kendileriyle ilişkili olup sunulan verilerle ilgili ek bağlam sunan etiketlere sahip olabilir. Örneğin scan
etiketleri, farklı tarama türlerini (ör. telnet
, ftp
ve rdp
gibi taranan hizmetler/protokoller) içerir. sinkhole
etiketleri, yönlendirme gider deliğine bağlanan kötü amaçlı yazılım ailelerini yansıtır (ör. adload
, andromeda
ve necurs
gibi bir kötü amaçlı yazılım ailesi türünden etkilenen ana bilgisayarlar).
Etiketler, sunulan verilerle ilgili ek bilgiler sunar.
Buna ek olarak risk altındaki veya etkilenen ana bilgisayarlarla ilgili gözlemleri daha iyi yansıtabilmek üzere ek kaynak gruplandırmaları da sunarız. Örneğin: http_vulnerable
veya compromised_website
gibi. Bunlar genellikle görülen arka kapılar, web kabukları veya implantlar hakkında belirli etkilenen CVE güvenlik açıklarını, satıcıları veya ürünleri yansıtan etiketler içerir. http_vulnerable
için bir örnek şu şekilde olur: citrix
veya cve-2023-3519
.
Son olarak veri kümelerimize daha fazla algılama eklediğimizde daha fazla etiketimiz olur. Böylelikle seçim yapabileceğiniz daha fazla kaynak kategorisi görülebilir. Örneğinsnmp
, scan
kaynağında bulunan bir etiket olmasına rağmen aynı zamanda kaynak olarak da yer alır.Bu durum, cve-2017-6736
gibi bir güvenlik açığı ile ilişkili spesifik snmp tarama sonuçlarının görüntülenmesine olanak tanıyan daha ayrıntılı snmp tarama sonuçları sunmamıza olanak tanır.
Veri kategorilerine hızlı bağlantılar: Sol gezinti çubuğu
Temsil edilen veri kümeleri; yönlendirme gider deliği, tarama ve bal küpü tuzakları gibi çeşitli büyük ölçekli yöntemler aracılığıyla toplanır. Bu veri kümesi ana kategorileri, sol gezinti çubuğunda paylaşılır. Her bir kategori türü, farklı bir simge ile gösterilir.
Hedefimiz, belirli kaynak kategorilerine daha hızlı erişim sağlamaktır. Örneğin:
-
Yönlendirme gider delikleri:
sinkhole
kaynağına göre gruplandırılmış veri kümelerinin bir genel bakışını sunar. Ardından bir etiket veya etiket grubu seçerek belirli bir yönlendirme gider deliğini görüntüleyebilirsiniz. -
Taramalar:
scan
kaynağına göre gruplandırılmış veri kümelerinin bir genel bakışını sunar(bu kategori, ilişkili bir tür güvenlik sorunu bulunan hizmetler için tarama sonuçlarını içerir, aynı zamanda bunun yerinepopulation
kaynağını seçerek popülasyon tarama sonuçlarını görüntüleyebilirsiniz). Ardından bir etiket veya etiket grubu seçerek belirli bir tarama sonucunu görüntüleyebilirsiniz. -
Bal küpü tuzakları:
honeypot
kaynağına göre gruplandırılmış veri kümelerinin bir genel bakışını sunar. Ardından bir etiket veya etiket grubu seçerek belirli bir bal küpü tuzağını görüntüleyebilirsiniz. -
DDoS:
honeypot_ddos_amp
kaynağına göre gruplandırılmış veri kümelerinin bir genel bakışını sunar. Bunlar, belirli bir ülkede/bölgedeki benzersiz hedefler tarafından görülen DDoS yükseltme saldırılarıdır. Ardından bir etiket veya etiket grubu seçerek kullanılan spesifik yükseltme yöntemini görüntüleyebilirsiniz. -
ICS:
ics
kaynağına göre gruplandırılmış veri kümelerinin (yerel Endüstriyel Kontrol Sistemleri protokollerinin tarama sonuçları) bir genel bakışını sunar. Ardından bir etiket veya etiket grubu seçerek kullanılan yerel protokolleri görüntüleyebilirsiniz. -
Web CVE’leri:
http_vulnerable
veexchange
öğelerine göre gruplandırılmış veri kümelerinin bir genel bakışını sunar. Bunlar, genellikle CVE tarafından taramalarımızda belirlenen güvenlik açığı bulunan web uygulamalarıdır. Bir etiket veya etiket grubu seçerek CVE’leri veya etkilenen ürünleri görüntüleyebilirsiniz.
Veri kümeleri, ülke veya ülke gruplandırmaları, bölgeler veya kıtalara göre ayrılabilir.
Tüm veri kümeleri aynı zamanda “Bu veriler hakkında” bölümünde açıklanmıştır.
Lütfen vurgulananlar dışında daha fazla veri kümesi olduğunu da unutmayın. Örneğin beacon
kaynağı, taramalarımızda gördüğümüz suistimal sonrası çerçeve C2’lerini keşfetmenize olanak tanırken compromised_website
kaynağı ise taramalarımızda gördüğümüz etkilenen web uç noktalarını keşfetmenize olanak tanır.
Üst gezinti çubuğu
Üst gezinti çubuğu, veri sunumu için çeşitli görselleştirme seçeneklerine ve cihaz tanımlama ile saldırı gözlem veri kümelerinin görselleştirilmesine olanak tanır.
Genel istatistikler
Genel istatistikler, aşağıdaki öğelerin seçilmesiyle tüm kaynak ve etiketlerin görselleştirilmesi imkanını sunar:
- Dünya haritası: Seçili kaynakları ve etiketleri gösteren bir dünya haritası görünümü. Ekstra özellikler arasında kaynağa göre her ülke için en yaygın etiketi görüntüleyecek şekilde görünümü değiştirme, popülasyona göre normalleştirme, GSYİH, bağlı kullanıcılar vb. yer alır. Aynı zamanda her ülke için değerleri görüntülemek üzere işaretçiler seçebilirsiniz.
- Bölge haritası: Ülkelerin bölgeler ve iller olarak ayrıldığı, ülke düzeyinde bir harita görünümü.
- Kıyas haritası: İki ülkenin kıyaslandığı bir harita.
- Zaman serileri: Zaman içindeki kaynak ve etiket kombinasyonlarını gösteren bir grafik. Farklı veri gruplandırması biçimlerinin (yalnızca ülkeye göre değil) kullanılabileceğini unutmayın.
- Görselleştirme: Zaman içinde değerlerin ortalamaları dahil olmak üzere veri kümelerinde ayrıntıya inme imkanı sunan çeşitli seçenekler sunar. Verileri tablo, çubuk grafiği, baloncuk diyagramları ve daha fazla biçimde sunma imkanı sunar.
IoT cihaz istatistikleri (cihaz tanımlama istatistikleri)
Bu veri kümesi ve ilişkili görselleştirmeler, taramalarımız aracılığıyla belirlenmiş etkilenen satıcılar ve ürünlerine göre gruplandırılmış etkilenen uç noktaları ile ilgili günlük bir anlık görüntü sunar. Veriler; satıcı, model ve cihaz türüne göre sınıflandırılır. Bunlar; web sayfası içeriği, SSL/TLS sertifikaları, görüntülenen başlıklar gibi çeşitli yöntemlerle belirlenir. Bu veri kümeleri, yalnızca veri içerir, yani etkilenen uç noktaları ile ilişkili güvenlik açıklarına dair bir değerlendirme yapılmaz (bunları bulmak için örneğin “Genel istatistikler” altındaki http_vulnerable
gibi kaynaklar seçin).
“Genel istatistikler”de olduğu gibi benzer görselleştirme grafikleri mevcuttur ancak bir fark olarak kaynaklar ve etiketler kullanmak yerine satıcıları, modelleri ve cihaz türlerini görüntüleyebilirsiniz (ve bunlara göre gruplandırabilirsiniz).
Saldırı istatistikleri: Güvenlik Açıkları
Bu veri kümesi ve ilişkili görselleştirmeler, bal küpü tuzağı sensör ağımız tarafından görülen saldırılan günlük bir anlık görüntüsünü sunar (suistimal için kullanılan güvenlik açıklarına odaklanarak). Bunlara, saldırganlar tarafından en sık saldırılan ürünleri görüntüleme ve bunların nasıl saldırıya uğradığını keşfetme (yani hangi güvenlik açığı suistimal ediliyor, buna suistimal edilen belirli bir CVE de dahil olabilir) imkanı da yer alır. Aynı zamanda grafikleri, saldırılan kaynağı ve hedeflerine göre görüntüleyebilirsiniz.
“Genel istatistikler”de olduğu gibi benzer görselleştirme grafikleri mevcuttur ancak bir fark olarak kaynaklar ve etiketler kullanmak yerine satıcıları, güvenlik açıklarını ve saldırının kaynağını ve hedefini görüntüleyebilirsiniz (ve bunlara göre gruplandırabilirsiniz).
Ek bir görselleştirme kategorisi olarak İzleme de eklenmiştir:
Bu güncellenen günlük bir tablo olup saldırıda bulunduğu gözlenen (ya da bağlantı girişimleri istatistiği seçeneğini belirlerseniz saldırı girişimleri gözlenen) benzersiz kaynak IP’lere göre gruplandırılmış en sık suistimal edilen güvenlik açıklarını içerir. Veriler, bal küpü tuzağı sensör ağımızdan alınır. Veriler, suistimal edilen güvenlik açıklarına göre gruplandırılır. Aynı zamanda CISA’nın Suistimal Edildiği Bilinen Güvenlik Açıkları eşlemelerini (bir fidye yazılımı grubu tarafından suistimal edildiği bilinip bilinmediği dahil) ve aynı zamanda saldırının sunucu uygulamasından ziyade bir IoT cihazına mı yapıldığını da içerir.
Varsayılan olarak görünümde tüm dünyadaki en sık suistimal edilen güvenlik açıkları gösterilir ancak dilerseniz belirli bir ülke veya gruplandırmaya göre filtre uygulayabilir ya da bir anomali tablosu görüntüleyebilirsiniz.
Saldırı istatistikleri: Cihazlar
Bu veri kümesi ve ilişkili görselleştirmeler, bal küpü tuzağı sensör ağımız tarafından gözlenen saldırıda bulunan cihaz türlerinin günlük bir anlık görüntüsünü sağlar. Bu cihazların parmak izinin alınması, günlük taramalarımız araclığıyla yapılır. Veri kümeleri, belirli saldırı türlerinin, cihaz satıcılarının veya modellerinin izlenmesine olanak tanır ve ülkeye göre filtrelenebilir.
“Genel istatistikler”de olduğu gibi benzer grafikler mevcuttur ancak bir fark olarak kaynaklar ve etiketler kullanmak yerine saldırı türünü, cihaz satıcısını veya modelini görüntüleyebilirsiniz (ve bunlara göre gruplandırabilirsiniz).
Ek bir görselleştirme kategorisi olarak izleme de eklenmiştir:
Bu güncellenen günlük bir tablo olup, benzersiz kaynak IP’ler tarafından saldırıda bulunduğu gözlenen (ya da bağlantı girişimleri istatistiği seçeneğini belirlerseniz saldırı girişimleri gözlenen) en yaygın saldırıda bulunan cihazları içerir. Bu veri kümesinde görüntülenen tüm veri kümeleri gibi bu kategorinin kaynağı, bal küpü tuzağı sensör ağımızdır. Görülen saldırı türüne, satıcıya ve modele (varsa) göre gruplandırılır. Saldırıda bulunan cihazı, günlük tarama parmak izi alma (bkz. “IoT cihazı istatistikleri” bölümü) sonuçları tarafından görülen karşılık gelen IP’lere göre belirleriz.
Varsayılan olarak görünümde, saldırıda bulunduğu görülen en yaygın saldırıda bulunan cihazlar görüntülenir (buna, cihazı belirleyemediğimiz veya örneğin yalnızca satıcıyı belirleyebildiğimiz durumlar da dahildir). Belirli bir ülke veya gruplandırmaya göre filtre uygulayabilir veya bir anomali tablosu görüntüleyebilirsiniz.