漏洞攻击？拦了！数据呢？丢了！

ThreatBook 微步在线 2025-02-26 00:30

最近老王遇到了一件怪事：
明明旁路部署的IPS阻断了一次Nday，但还是泄露了数据。

事情是这样的，近期有人频繁在非工作时间登录Zabbix，疑似账户失窃。在确认非本人操作后，老王排查到了一次被IPS拦截的Grafana漏洞攻击，
随后便出现了异常登录
。该漏洞可导致Grafana与Zabbix集成时后者密码泄露。

图：攻击者以用户身份访问Grafana，查看HTML源代码后，在api_jsonrpc.php中得到Zabbix账户密码和URL

“难道是旁路阻断又漏了？”处置完毕后，老王向公司大佬请教了相关问题。

为什么旁路阻断无法阻断信息泄露类漏洞攻击？

旁路阻断：“屯兵山上”，阻断包生效时账密已经出网

串行阻断：“当道扎寨”，实时阻断确保数据无法出网

对于许多信息泄露类漏洞攻击，由于入站请求并不具备明显特征，与正常访问类似，因此需要结合出站流量综合判断。

但旁路IPS是检测镜像流量，通过发送阻断包阻断攻击。这就导致阻断包生效时，实际数据已经返回给攻击者。因此即便成功阻断漏洞攻击，也无法阻止数据泄露。

旁路阻断成功率不稳定，很难达到预期效果

旁路阻断的另一个缺陷是存在一定的失败概率。尤其是在高强度对抗过程中，会有很多不确定因素如并发量、丢包率等，导致阻断包失去作用。

旁路会失败、串行怕故障，边界防御怎么就那么难？

其实从安全防护角度考虑，串行效果要明显优于旁路阻断，但串行部署下潜在的单点故障隐患，让边界防御问题变得困难起来。

想要破解这个边界防御难题，就必须要同时满足两个条件：

这也是老王他们想要替换传统IPS的根本原因。经过一番对比，最终选择了微步威胁防御系统OneSIG。

OneSIG通过串行接入在网络出口，可自动拦截90%以上的网络攻击，避免在常态化攻防演练和日常安全运营中，投入过量精力人工分析告警。

稳定无故障，支持HA高可用

OneSIG已经广泛应用于金融、国央企、能源、政府、教育、医疗等行业，数百家单位串行接入，保持了长期稳定运行。OneSIG提供全面的稳定性保障，包括HA和软硬件Bypass。在HA方面，OneSIG支持：
1. 主-备备份和主-主负载两种模式的高可用

高性能精准封禁

OneSIG误报率低至0.03%，且最大支持百万并发封禁。
历年攻防演练期间，OneSIG单台设备最多封禁超过30万 IP/域名，没有一次误封。

开放联动

OneSIG可通过API、Syslog等多种方式，与企业已有NDR、SOC、SIEM等设备对接，对于绕过边界设备的高级威胁实现分钟级联动封禁，提高闭环处置效率。

联系微步

如要试用微步OneSIG

扫码在线沟通

↓
↓↓

· END ·

近期文章