Asboblar paneli haqida qisqacha

Shadowserver asboblar panelida oʻzining har kunlik faoliyatlari doirasida 100 dan ortiq kunlik hisobot toʻplaydigan va ulashadigan maʼlumotlar toʻplamlarini aks ettiruvchi yuqori darajali statistika aks ettirilgan. Ushbu maʼlumotlar toʻplamlari hujumdan himoyalanmagan yuza, zaifliklar, notoʻgʻri konfiguratsiyalar, tarmoqlarning buzib kirilishini aniqlash hamda hujumlarni kuzatish imkonini beradi. Hisobotlar shaklida ulashiladigan maʼlumotlar maʼlum bir tarmoq yoki foydalanuvchilar guruhiga tegishli IP darajasidagi batafsil maʼlumotlarni oʻz ichiga oladi. Shadowserver Dashboard bunday darajadagi detalizatsiya chuqurligiga ruxsat bermaydi. Buning oʻrniga, unda ushbu faoliyatlarni aks ettiruvchi yuqori darajadagi statistikalar taqdim etiladi. Bu soʻnggi yuzaga kelgan tahdidlar, zaifliklar, insidentlar haqida maʼlumot beradi va shu bilan birga barcha jalb etilgan tomonlarning anonimligini saqlagan holda keng jamoatchilik vaziyat xabardor boʻlishini taʼminlaydi.

Manbalar va teglar

Maʼlumotlar taqdimoti manbalar va teglar atrofida tashkil qilinadi. Manba aslida u yoki bu shakldagi maʼlumotlarning guruhlanishi. Asosiy manbalar – honeypot, population, scan, sinkhole. Populyatsiya hamda skanerlash skanerlashga asoslangan maʼlumotlar toʻplamlari boʻlib, bunda populyatsiya zaiflik/xavfsizlik baholanmagan yakuniy taʼsir nuqtalarining sanogʻidir. A 6 suffiksi IPv6 maʼlumotlarni ifodalaydi (suffikssiz barcha kiritishlar IPv4 maʼlumotlarga tegishli).

Manbalar taqdim etilayotgan maʼlumot uchun qoʻshimcha kontekst bilan taʼminlovchi ular bilan bogʻliqn teglar boʻlishi mumkin. Masalan, scan uchun teglar farqli haqiqiy skanerlash turlarini oʻz ichiga oladi (m-n, telnet, ftp va rdp kabi skanerlanayotgan xizmatlar/protokollar). sinkhole uchun teglar voronkaga bogʻlanadigan haqiqiy zararli dasturlar guruhlarini oʻz ichiga olishi mumkin (m-n, adload, andromeda va necurs kabi zararli dastur guruhi turidan zararlangan xostlar).

Teglar taqdim etilgan maʼlumotlar haqida qoʻshimcha axborot beradi.

Bundan tashqari, zaif yoki buzib kirilgan xostlar kuzatuvlarini yaxshiroq aks ettirish uchun manbalarni qoʻshimcha guruhlashni ham joriy qildik, masalan, http_vulnerable yoki compromised_website. Odatda ular muayyan CVE zaifliklari, vendorlar yoki taʼsirga uchragan mahsulotlarni yoki qayd etilgan bekdor, veb-shell yoki implantlar haqidagi maʼlumotlarni aks ettirgan teglarni oʻz ichiga oladi. http_vulnerable uchun misol citrix yoki cve-2023-3519 boʻlishi mumkin.

Yakunda, maʼlumotlar toʻplamlarimizga yangi aniqlashlarnin qancha koʻp kiritsak, shuncha koʻp tegga ega boʻlamiz. Bu shuni anglatadiki, tanlanadigan yangi manba toifalari paydo boʻlishi mumkin. Masalan, snmp scan manbasida mavjud teg boʻlsa ham, u manba sifatida tavsiflanadi. Bu orqali cve-2017-6736 kabi zaifliklar bilan bogʻlangan muayyan snmp skanerlash natijalarini koʻrish imkonini beruvchi snmp skanerlashning yanada batafsil natijalarini olish mumkin.

Maʼlumot toifalariga tezkor havolalar: Chap navigatsiya paneli

Taqdim etilgan maʼlumotlar toʻplamlari keng koʻlamli turli maʼlumot toʻplash usullari, jumladan, voronka, skanerlash va honeypot orqali toʻplanadi. Maʼlumotlar toʻplamlarining ushbu asosiy toifalari chap navigatsiya panelida taqsimlangan, har bir toifa turi alohida belgi bilan ifodalangan.

Maqsad – muayyan manba toifalari bilan tez ishga kirishish. Masalan:

  • Voronkalar - sinkhole manbasi boʻyicha guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi. Teg yoki teglar guruhini tanlash orqali muayyan voronka natijasini koʻrishingiz mumkin.
  • Skanerlash - scan manbasi boʻyicha guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi (bu toifa xizmatlar bilan bogʻliq xavfsizlik muammolari bor shunday xizmatlarni skanerlash natijalarini oʻz ichiga oladi, buning oʻrniga population manbasini tanlab, populyatsiyani skanerlash natijalarini ham koʻrishingiz mumkin). Teg yoki teglar guruhini tanlash orqali muayyan skanerlash natijasini koʻrishingiz mumkin.
  • Honeypot - manba honeypot boʻyicha guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi. Teg yoki teglar guruhini tanlash orqali muayyan honeypot natijasini koʻrishingiz mumkin.
  • DDoS - honeypot_ddos_amp manbasi boʻyicha guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi. Bu muayyan mamlakat/mintaqada unikal nishonlar orqali qayd qilingan kuchaytirilgan DDoS hujumlaridir. Teg yoki teglar guruhini tanlash orqali muayyan kuchaytirish usulini koʻrishingiz mumkin.
  • ICS - ics manbasi orqali guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi (ular milliy Sanoat boshqaruv tizimlari protokollarining skanerlash natijalari sanaladi). Teg yoki teglar guruhini tanlash orqali milliy protokollarni koʻrishingiz mumkin.
  • Web CVEs - http_vulnerable va exchange orqali guruhlangan maʼlumotlar toʻplamlari haqida qisqacha umumiy maʼlumot beradi. Bular odatda CVE orqali bizning skanerlash jarayonimizda aniqlangan zaif veb-ilovalardir. Teg yoki teglar guruhini tanlash orqali CVEs yoki tegishli mahsulotlarni koʻrishingiz mumkin.

Maʼlumotlar toʻplamlarini mamlakat yoki mamlakatlar guruhlari, mintaqalar va kontinentlar boʻyicha ajratish mumkin.

Har bir maʼlumotlar toʻplami “Bu maʼlumotlar haqida” boʻlimida ham tasvirlanadi.

Ajratib koʻrsatilganlaridan tashqari, boshqa maʼlumotlar toʻplamlari mavjudligiga ham eʼtibor bering. Masalan, beacon manbasi biz skanerlash natijalarida koʻradigan C2 posteksploit freymvorklarini oʻrganish, compromised_website manbasi esa bizning skanerlashlarimizda bizga koʻrinadigan buzib kirilgan veb yakuniy nuqtalarini bilib olish imkonini beradi.

Yuqori navigatsiya paneli

Yuqori navigatsiya paneli maʼlumotlar taqdimotining turli vizualizatsiya opsiyalari, shuningdek, qurilmalar identifikatsiyasi va hujumlarni kuzatish boʻyicha maʼlumotlar toʻplamlari vizualizatsiyadan foydalanish imkonini beradi.

Umumiy statistika

Umumiy statistika quyidagini tanlash orqali har qanday manba va tegni vizualizatsiya qilish imkoniyatini oʻz ichiga oladi:

  • Jahon xaritasi - jahon xaritasining aks ettirilishi, unda tanlangan manbalar va teglar koʻrsatiladi. Qoʻshimcha parametrlar quyidagilar: har bir manbaga koʻra mamlakat boʻyicha eng keng tarqalgan tegni koʻrsatish uchun displeyni oʻzgartirish imkoniyati, aholi soni boʻyicha normallashtirish, YIM, foydalanuvchilarni ulash va h. Mamlakat boʻyicha qiymatlarni koʻrsatish uchun xaritada markerlarni ham tanlash mumkin.
  • Mintaqa xaritasi - mintaqalar va provinsiyalarga mamlakat boʻlib koʻrsatiladigan mamlakat darajasidagi xarita.
  • Qiyosiy xarita - ikki mamlakatni qiyoslash xaritasi.
  • Vaqt qatori - vaqt oʻtishi bilan manba va teg kombinatsiyalarini koʻrsatuvchi grafik. Eʼtibor bering, bu maʼlumotlarni guruhlashning turli shakllaridan foydalanish imkonini beradi (faqatgina mamlakat boʻyicha emas).
  • Vizualizatsiya - maʼlumotlar toʻplamlariga turlicha chuqurlashish opsiyalarini, jumladan, vaqt boʻyicha oʻrtacha qiymatlarni taklif qiladi. Maʼlumotlarni jadvallar, gistogrammalar, pufakcha diagrammalari va boshqa shaklda koʻrsatish imkonini beradi.

IoT qurilma statistikasi (qurilmani aniqlash statistikasi)

Ushbu maʼlumotlar toʻplami va vizualizatsiya shakllari ochiq shaklda taqdim etiluvchi vendorlar tomonidan guruhlangan himoyalanmagan yakuniy nuqtalarning kunlik tasvirlari va vendorlarning bizning skanerlarimiz orqali aniqlangan mahsulotlari bilan taʼminlaydi. Maʼlumotlar vendor, model va qurilma turi boʻyicha toifalanadi. Ular turli vositalar, jumladan, veb-sahifa kontenti, SSL/TLS serifikatlari, koʻrsatilgan bannerlar orqali identifikatsiya qilinadi. Maʼlumotlar toʻplamlari faqat populyatsiya maʼlumotlarini oʻz ichiga oladi, yaʼni, ochiq taqdim etilgan yakuniy nuqtalar bilan bogʻliq hech bir zaiflik baholanmaydi (buni topish uchun, masalan, Umumiy statistika boʻlimida http_vulnerable oʻrniga manbalarni tanlang).

“Umumiy statistika”dagi kabi oʻxshash vizualizatsiya grafiklari mavjud, farqi shundaki, manbalar va teglar oʻrniga, vendorlar, modellar va qurilma turlari boʻyicha koʻrishingiz (guruhlashingiz) mumkin.

Hujum statistikasi: Zaifliklar

Ushbu maʼlumotlar toʻplami va aloqador vizualizatsiya shakllari eksploit uchun ishlatiladigan zaiflikka urgʻu bergan holda bizning honeypot sensor tarmogʻimiz qayd qilgan hujumlarning kunlik tasvirlarini taqdim etadi. Bular hujumlarga eng koʻp uchraydigan mahsulotlarni koʻrish va ularga qanday hujum qilinganligini bilib olish imkoniyatini oʻz ichiga oladi (m-n, eksploit uchun ishlatiladigan muayyan CVEni oʻz ichiga oluvchi ishlatiladigan zaifliklar). Hujumlar manbasi va belgilangan manzillar boʻyicha ham grafiklarni koʻrishingiz mumkin.

“Umumiy statistika”dagi kabi oʻxshash vizualizatsiya grafiklari mavjud, farqi shundaki, manbalar va teglar oʻrniga, hujumga oid vendor, zaifliky, shuningdek, manba va belgilangan manzil boʻyicha koʻrishingiz (va guruhlashingiz) mumkin.

Qoʻshimcha vizualizatsiya toifasi - monitoring ham qoʻshiladi:

Bu hujum kuzatilgan unikal manba IP manzillar boʻyicha guruhlangan eng keng tarqalgan ishlatiladigan zaifliklarning yangilanadigan kunlik jadvali (yoki ulanishga urinishlar statistikasi opsiyasi tanlansa, hujumga urinishlar). Maʼlumotlar bizning honeypot sensor tarmogʻimizdan olingan. Maʼlumotlar ishlatiladigan zaifliklar boʻyicha guruhlangan. Bundan tashqari, ular CISA maʼlum ishlatiladigan zaifliklar muvofiqliklarini ozʻ ichiga oladi (jumladan, tamagir dastur guruhi tomonidan ishlatilgani maʼlummi yoki yoʻqmi), shuningdek, hujum server ilovasiga emas, IoT qurilmaga qilinganmi yoki yoʻqmi shuni koʻrsatadi.

Standart boʻyicha, displey butun dunyo uchun ishlatilgan eng keng tarqalgan zaifliklarni koʻrsatadi, ammo muayyan mamlakat yoki guruh boʻyicha filtrlash yoki anomaliya jadvalini koʻrsatish mumkin.

Hujum statistikasi: Qurilmalar

Bu maʼlumotlar toʻplami va aloqador vizualizatsiya shakllari bizning honeypot sensor tarmogʻimiz qayd qilgan hujum qiluvchi qurilmalar turlarining kunlik tasvirlarini taqdim etadi. Kunlik skanerlashlar orqali bu qurilmalarning raqamli izlari olinadi. Maʼlumotlar toʻplamlari muayyan hujum turlari, qurilma vendorlari yoki modellarini kuzatish imkonini beradi va mamlakat boʻyicha filtrlanishi mumkin.

“Umumiy statistika”dagi kabi oʻxshash grafiklar mavjud, farqi shundaki, manbalar va teglardan foydalanish oʻrniga, hujum turi, qurilma vendor yoki model boʻyicha koʻrishingiz (guruhlashingiz) mumkin.

Qoʻshimcha vizualizatsiya toifasi - monitoring ham qoʻshiladi:

Bu hujum kuzatilgan unikal manba IP manzillar boʻyicha qayd etilgan eng keng tarqalgan hujum qiluvchi qurilmalarlarning yangilanadigan kunlik jadvali (yoki ulanishga urinishlar statistikasi opsiyasi tanlansa, hujumga urinishlar). Bu toifada koʻrsatiladigan barcha maʼlumotlar toʻplamlari kabi ular bizning honeypot sensor tarmogʻimizdan olinadi. U qayd etilgan hujum turi, vendor va model (mavjud boʻlsa) boʻyicha guruhlanadi. Biz qurilmalarni kunlik skanerlashdan olingan raqamli izlar natijasi bilan koʻrilgan IP manzillarni qiyoslab, hujum qiluvchi qurilmalarni aniqlaymiz (“IoT qurilma statistikasi” boʻlimiga qarang).

Standart boʻyicha displeyda eng koʻp hujum qiluvchi qurilmalar koʻrsatiladi (bunga qurilmani aniqlanmagan, yoki faqat vendor aniqlangan holatlar kiradi). Maʼlum bir mamlakat yoki guruh boʻyicha filtrlash yoki uning oʻrniga anomaliya jadvalini koʻrsatish mumkin.

Shadowserver Dashboard ishlab chiqilishi UK FCDO tomonidan moliyalashtirilgan. IoT qurilmalar raqamli izini olish statistikasi va honeypot hujumlar statistikasi Yevropa Ittifoqining Yevropa Birlashtirish Fondi (EU CEF VARIoT project) tomonidan birgalikda moliyalashtirilgan.

Shadowserver Dashboardʼda ishlatiladigan maʼlumotlarni beminnat taqdim etgan barcha hamkorlarimizga, jumladam (alifbo tartibida) APNIC Community Feeds, Bitsight, CISPA, if-is.net, Kryptos Logic, SecurityScorecard, Yokohama National University va nomi oshkor qilinmasligini maʼqul koʻrgan barcha hamkorlarimizga tashakkur bildirmoqchimiz.

Shadowserver tahliliy maʼlumotlarni yigʻish uchun cookie-fayllardan foydalanadi. Bu bizga saytdan qanday foydalanilishini baholash va foydalanuvchilar uchun imkoniyatlarni yaxshilash imkonini beradi. Cookie-fayllar va Shadowserver ulardan qanday foydalanishi haqida qoʻshimcha maʼlumot uchun maxfiylik siyosatiga qarang. Qurilmangizda cookie-fayllardan foydalanishimiz uchun sizning roziligingiz kerak.