儀表板概觀

Shadowserver 儀表板提供的高級統計能力,以超過 100 個每日報告呈現 Shadowserver 在每日活動中收集和分享的主資料集。資料集能識別曝光的攻擊表面、漏洞、錯誤設定、遭入侵網路,也能觀察攻擊。以報告形式分享的資料包含了詳細的 IP 層級資訊,其中與特定網路和區域相關。Shadowserver 儀表板不允這種層級的細微性,而是會以能反映這些活動的高級統計呈現。這能提供最新潛在威脅、漏洞、事件的深入解析,提升對廣大社群情況的瞭解,同時保護任何相關人員的匿名性。

來源和標籤

資料呈現以來源標籤為基準。來源基本上是某種形態的資料群組。基礎來源為包括honeypotpopulationscansinkhole。群體和掃描都是以掃描為基礎的資料集,其中群體為沒有漏洞/安全性評估的曝光端點計數。後綴 6 代表 IPv6 資料(所有沒有後綴的項目都代表 IPv4 資料)。

來源可以擁有提供呈現資料額外資訊的相關標籤。例如,scan的標籤將包含實際的不同掃描類型(例如正在掃描的服務/協定,例如 telnetftprdp)。sinkhole的標籤會反映與陷坑相關的實際惡意軟體家族(例如 adloadandromedanecurs 等惡意軟體家族感染的主機)。

標籤提供呈現資料的額外資訊。

此外我們也推出了更多來源群組,以針對漏洞或遭入侵主機呈現更清楚的觀察,例如 http_vulnerablecompromised_website。這些通常會包含標籤,其中呈現受影響的指定 CVE 漏洞、廠商或產品,或是關於後門、Webshell 或被發現之植入程式的資訊。http_vulnerable 的其中一個範例,就是 citrix 或是 cve-2023-3519

最後,由於我們為資料集新增更多偵測,因此有更多標籤。這代表或許會有新的來源類別可供選擇。snmp 是來源scan會呈現的一個標籤,但也被視為來源。這讓我們能提供更細微的 snmp 掃描,進而能檢視與 cve-2017-6736 等漏洞相關的指定 snmp 掃描結果。

快速連結至資料類別:左側導覽列

呈現的資料集來自多個大規模收集方式,包括陷坑、掃描和蜜罐。這些資料及主要類別會於左側導覽列分享,類別中每個項目都以不同的圖示表示。

其目的是讓您能更快地瞭解特定來源類別。例如:

  • 陷坑 - 提供以來源sinkhole分組的資料集概觀。接著您可選取標籤或標籤群組,檢視更特定的陷坑結果。
  • 掃描 - 提供以來源scan分組的資料集概觀(此類別包含具有與其相關之安全性問題的服務掃描結果,您也可選取population來檢視群體掃描結果)。接著您可選擇標籤或標籤群組,檢視特定掃描結果。
  • 蜜罐 - 提供以來源honeypot分組的資料集概觀。接著您可選取標籤或標籤群組,檢視更特定的蜜罐結果。
  • DDoS - 提供以來源 honeypot_ddos_amp 分組的資料集概觀。特定國家/區域中的特定目標發現有放大的 DDoS 攻擊。接著您可選取標籤或標籤群組,檢視使用的特定放大方式。
  • ICS - 提供以來源 ics 分組的資料集概觀(其中為原生產業控制系統協定的掃描結果)。接著您可選取標籤或標籤群組,檢視原生協定。
  • Web CVEs - 提供以 http_vulnerableexchange 分組的資料集概觀。這些是我們掃描中發現的脆弱 Web 應用程式(尤其是 CVE)。您可選取標籤或標籤群組,檢視 CVE 或受影響產品。

資料集可以細分成國家或國家分組、區域和洲別。

「關於本資料」中會說明每個資料集。

請注意除了特別提及的資料集外還有很多資料集。例如,來源 beacon 能讓您探索我們掃描中後脅迫框架 C2s,而來源 compromised_website 能讓您探索我們掃描中發現的遭入侵網路端點。

頂端導覽列

頂端導覽列提供多種資料呈現的視覺化選項,也有裝置識別和攻擊觀察資料集的視覺化項目。

一般統計

一般統計涵蓋視覺化任何來源標籤,其方法是透過選取:

  • 世界地圖 - 世界地圖會顯示所選來源標籤。其他功能包括:根據國家和來源顯示最常用標籤、根據群體、GDP 普通化、連結使用者等功能。您也可以選取地圖上的標記來顯示每個國家的值。
  • 區域地圖 - 將國家分割成區域和省份顯示的國家層級地圖。
  • 比較地圖 - 兩個國家的比較地圖。
  • 時間序列 - 顯示一段時間來源標籤組合的圖表。注意,允許不同的資料群組樣式(不只根據國家)。
  • 視覺化 - 提供各種鑽入資料集的選項,包括一段時間的平均值。允許資料表、長條圖、泡泡圖等樣式顯示資料。

IoT 裝置統計(裝置識別統計)

資料集和相關視覺化,針對我們掃描識別出的曝光廠商與其商品分組的曝光端點,提供每日快取。資料會以廠商、型號和裝置類型分類。這些項目會以多種方法識別,包括網路頁面內容、SSL/TLS 認證、顯示的橫幅等。資料集僅會包含群體資料,不會有任何與曝光端點相關的漏洞評估(若需這些資料,則請選取「一般統計」下的 http_vulnerable 等來源範例)。

提供類似的視覺化圖表,例如「一般統計」,其差別在於與其使用 來源標籤,您可以檢視廠商型號裝置類型(並進行分組)。

攻擊統計:漏洞

資料集和相關視覺化,針對我們掃描蜜罐感測網路發現的攻擊,提供每日快取,其重點著重於被利用的漏洞。這包括檢視最常被攻擊的產品、瞭解攻擊方式(例如透過哪個被利用的漏洞,這可能包含特定 CVE 遭到利用)的功能。您也可以根據攻擊和目的地來源檢視圖表。

提供類似的視覺化圖表,例如「一般統計」,其差別在於與其使用來源標籤,您可以檢視廠商漏洞以及來源目的地(並進行分組)。

新增了另一個視覺化類別——監視:

這個更新過的每日資料表會根據發現的唯一來源 IP 攻擊(或如果您選擇連線嘗試統計選項,則為發現的攻擊嘗試)整理出最常見成功利用漏洞。資料源自於我們的蜜罐感測網路,並會根據漏洞利用進行分組。其中也包含 CISA 已知漏洞利用對應(包括是否為被勒索軟體群組利用),以及攻擊是否針對 IoT 裝置而不是伺服器應用程式。

根據預設,顯示會呈現全世界最常見的漏點利用,但您也可以篩選特定國家或群組,或顯示異常資料表。

攻擊統計:裝置

資料集和相關視覺化,針對我們蜜罐感測網路發現的攻擊裝置類型,提供每日快取。我們的每日掃描記錄這些裝置。資料集可用來追蹤特定攻擊類型、裝置廠商或型號,並可根據國家篩選。

提供類似的視覺化圖表,例如「一般統計」,其差別在於與其使用 來源標籤,您可以檢視攻擊類型、裝置廠商型號(並進行分組)。

新增了另一個視覺化類別——監視:

這個更新過的每日資料表會根據發現的唯一來源 IP 攻擊(或如果您選擇連線嘗試統計選項,則為發現的攻擊嘗試)整理出最常見的攻擊裝置。如同本類別顯示的所有資料集,其來源為我們的蜜罐感測網路,並根據發現的攻擊類型、廠商和型號(若有的話)進行分組。我們會根據發現的對應 IP 以及每日裝置掃描指紋的結果判定攻擊裝置(請參閱「IoT 裝置統計」一節)。

根據預設,顯示會呈現最常發現攻擊(這包括我們無法識別裝置,或例如僅能識別廠商的情況)的攻擊裝置(根據來源)。您可以選擇根據特定國家或群組進行篩選,或是顯示異常資料表。

Shadowserver 儀表板的開發由 UK FCDO 贊助。IoT 裝置指紋統計和蜜罐攻擊統計由歐盟的 Connecting Europe Facility 協同贊助 (EU CEF VARIoT project)。

我們誠心感謝所有慷慨贊助 Shadowserver 儀表板中使用資料的合作夥伴,包括(按字母排序)APNIC Community FeedsBitsightCISPAif-is.netKryptos LogicSecurityScorecard橫濱國立大學 以及所有保持匿名的夥伴。

Shadowserver 使用 cookies 來收集分析資料。這讓我們能測量網站的使用方式並改善使用者的體驗。如需更多 Shadowserver 如何使用這些 cookies 的資訊,請參閱隱私權政策。我們需要您的同意才能在您的裝置以此方式使用 cookies。