2020年2月24日-28日，網(wǎng)絡安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經(jīng)相繼向大家介紹了入選今年創(chuàng)新沙盒的十強初創(chuàng)公司：Elevate Security 、Sqreen和Tala Security三家廠商，下面將介紹的是：Tala Security。

一、公司介紹

Tala Security公司成立于2016年，總部位于美國加利福尼亞的弗里蒙特。其創(chuàng)始人兼CEO——Aanand Krishnan曾是Symantec(賽門鐵克)產(chǎn)品管理的高級總監(jiān)。據(jù)owler.com的數(shù)據(jù)顯示，Tala Security自成立以來已經(jīng)過4輪融資，總共籌集了850萬美元。但crunchbase.com的數(shù)據(jù)則表明Tala Security已經(jīng)得到了1460萬美元的融資。

二、產(chǎn)品介紹

Tala Security的官方網(wǎng)站上展示的唯一一款產(chǎn)品是“Client-side Web Application Firewall”(下簡稱“Tala WAF”)。產(chǎn)品宣稱“具有強大的預防能力、自動化決策能力和無與倫比的性能，可抵御XSS、Magecart，以及最重要的，抵御明天的攻擊”。按照官方網(wǎng)站的宣傳，Tala WAF的主要功能是檢測和防護各種針對WEB客戶端(瀏覽器)的攻擊。

三、技術分析

注：以下所有結論均通過公開資料整理推測得出，并非基于對實際產(chǎn)品的研究，可能并不反映Tala WAF產(chǎn)品的實際情況，僅供參考。

1. 整體運作機制

從官方白皮書來看，Tala WAF的運作主要依靠一些瀏覽器內(nèi)置安全機制。具體包括：

() 內(nèi)容安全策略(CSP)

由服務端指定策略，客戶端執(zhí)行策略，限制網(wǎng)頁可以加載的內(nèi)容;

一般通過“Content-Security-Policy”響應首部或“<meta> ”標簽進行配置。

(2) 子資源完整性(SRI)

對網(wǎng)頁內(nèi)嵌資源(腳本、樣式、圖片等等)的完整性斷言。

(3) iFrame沙盒

限制網(wǎng)頁內(nèi)iframe的表單提交、腳本執(zhí)行等操作。

(4) Referrer策略

避免將網(wǎng)站URL通過“Referer”請求首部泄露給其它網(wǎng)站。

(5) HTTP嚴格傳輸安全(HSTS)

一定時間內(nèi)強制客戶端使用SSL/TLS訪問網(wǎng)站，并禁止用戶忽略安全警告。

(6) 證書裝訂(暫譯，Certificate Stapling)

服務端會在SSL/TLS協(xié)商中附帶OCSP信息，以證實服務端證書的有效性。

如果能夠得到正確配置，CSP等客戶端安全機制無疑是應對各類客戶端側(cè)攻擊的有效方法。官方白皮書中稱Tala WAF的核心功能是“在所有現(xiàn)代瀏覽器中動態(tài)部署并持續(xù)調(diào)整基于標準的安全措施”。

由此推測，Tala WAF的關鍵機制有二：

• 自動化生成和調(diào)整上述安全策略：和大部分的ACL一樣，要嚴格配置這些安全機制并不是一件容易的事情。
• 收集和分析這些安全策略的執(zhí)行記錄：由于CSP具有Report機制，要收集其執(zhí)行記錄應該不算復雜。

最關鍵的部分是生成安全策略和分析執(zhí)行記錄的算法。對此，但綠盟君沒能找到任何有價值的公開信息。僅有的敘述來自官方網(wǎng)站：“Tala利用AI輔助分析引擎來評估網(wǎng)頁體系結構和集成的50多個獨特指標”。至于具體使用了何種模型則不得而知。

2. 細節(jié)分析

特別聲明：我們不會在未經(jīng)授權的情況下對他人網(wǎng)站采取任何進攻性行為。以下測試僅通過查看和修改本地通信來測試瀏覽器CSP的實現(xiàn)效果，并不能表明Tala Security網(wǎng)站存在或不存在任何安全漏洞。

直接訪問Tala Security官方網(wǎng)站，可見該網(wǎng)站的CSP配置如下：

可見是一組非常復雜的CSP，我們猜測Tala Security官方網(wǎng)站大概使用了Tala WAF。如果猜測屬實，其中有一些細節(jié)值得注意：

(1) CSP響應首部

我們首先發(fā)現(xiàn)，響應首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。這意味著即使頁面元素/腳本違背了CSP也不會被阻止，而是僅僅產(chǎn)生一條Report信息：

上圖可見，即使<script>標簽缺少“nonce”屬性也能正常執(zhí)行，只是會產(chǎn)生Report信息。

由此猜想，Tala WAF可能也無法以非常高的信心生成嚴格的CSP(而不影響網(wǎng)站正常業(yè)務)。Tala WAF可能會像態(tài)勢感知系統(tǒng)那樣，針對收集到的CSP Report信息使用某種異常檢測模型。

(2) CSP中的report-uri

Tala Security官方網(wǎng)站的report-uri指向站外地址

“https://pilot.tsrs.cloud/r/7d9925a3e964e7eb0ed12fa82e9a3f891ae28372”。該網(wǎng)址不知為何無法正常訪問，也正好避免測試過程產(chǎn)生虛假告警。綠盟君多次嘗試刪除Cookie并更換IP地址后刷新頁面，但report-uri始終不變。

由此猜測，Tala WAF可能是以云服務形式提供的，report-uri中一長串的hash可能唯一標識一個被保護的網(wǎng)站。如此一來，用戶本地就能實現(xiàn)輕量化部署，且?guī)缀醪划a(chǎn)生性能損耗(官網(wǎng)宣稱的“no signatures, no agents”)，但也意味著用戶的CSP Report信息可能會被Tala Security公司收集。

(3) CSP的粒度

Tala Security官方網(wǎng)站的大量頁面(包括HTML、JS、CSS、甚至是圖片資源和302跳轉(zhuǎn)響應)都使用了相同的CSP配置。以下為測試中的部分記錄：

可見除了script-src中隨機生成的nonce值之外，其它字段全部相同。

由此猜測，Tala WAF可能是對網(wǎng)站整體的資源引用情況進行分析，并產(chǎn)生一組靜態(tài)策略，隨后通過修改WEB中間件配置等方式應用到整個網(wǎng)站中。按理說，這是一種相對粗粒度的方法，當網(wǎng)站業(yè)務構成比較復雜時，可能難以有效發(fā)揮防護效果。但也不能排除有其它機制來適應這些場景。

四、特征對比

1. 優(yōu)勢和創(chuàng)新點

Tala WAF似乎并不關注像SQL注入、任意文件上傳這樣的漏洞攻擊，但它能夠?qū)⒖蛻舳税踩珯C制活性化，從而檢測和阻止大部分常見的對客戶端攻擊，諸如XSS、挖礦腳本、廣告注入等。即使攻擊者能夠運用各種五花八門的bypass技巧，在一套嚴格配置的CSP面前也會非常苦惱。

綠盟君曾在應急響應中多次遇到通過推廣平臺發(fā)起的網(wǎng)頁篡改攻擊，其中大多數(shù)屬于黑產(chǎn)流量變現(xiàn)(可以簡單理解為薅羊毛的一種)。由于廣告代理商層層外包，即使是一些看上去很正規(guī)的推廣平臺也可能會提供包含惡意代碼的廣告內(nèi)容。這些惡意代碼會嵌入到所有呈現(xiàn)該廣告的網(wǎng)站頁面上，并大面積攻擊訪問這些網(wǎng)站頁面的用戶。目前的常規(guī)WEB應用防護體系很難與之對抗，但Tala WAF的方法理應可以有效防范此類攻擊。

又例如有些XSS的Payload不會出現(xiàn)在通信流量中，一種常見情況是URL中“#”后面的部分(通常用來控制頁面自動滾動定位)所構成的DOM型XSS。常規(guī)網(wǎng)絡防護依賴對通信流量的檢查，因此很難發(fā)現(xiàn)這種XSS。但正確配置的CSP能夠阻止此類漏洞利用。

整體來說，Tala WAF相對適合互聯(lián)網(wǎng)行業(yè)，尤其是電商零售領域的網(wǎng)站，因為這些網(wǎng)站往往具有大量的第三方資源引用。Tala WAF可能會成為現(xiàn)有WEB安全防護體系中一個非常重要的補充。

2. 劣勢與挑戰(zhàn)

從公開的資料來看，Tala WAF并不具備對常規(guī)漏洞入侵的防御能力，因此可能不適合單獨部署使用。Tala WAF可能也難以在企業(yè)內(nèi)網(wǎng)環(huán)境中發(fā)揮優(yōu)勢——內(nèi)部網(wǎng)站的內(nèi)容資源大多可控性很高，且接入云服務也很困難。

此外，Tala Sec一些外部挑戰(zhàn)。引用Gartner高級總監(jiān)分析師Dionisio Zumerle的觀點：“Tala Security面臨來自提供替代方法的供應商的競爭。一些應用內(nèi)置保護的播放器提供客戶端JavaScript監(jiān)控。一些RAurity也面臨SP和WAF供應商將CSP和SRI功能作為端到端應用程序安全平臺的一部分來提供。此外，網(wǎng)站運營者對客戶端應用程序的保護意識普遍不足。”

五、總結

長期以來，大多數(shù)網(wǎng)站安全建設都著重于防止服務器被入侵或泄露數(shù)據(jù)，而Tala Security的思想確實彌補了現(xiàn)有體系的一個短板，當之無愧為2020年度RSA大會的10大Sandbox創(chuàng)新廠商之一。不僅僅是CSP，如何能夠快速而精確地調(diào)整各種安全策略配置，如何能夠最大化地利用好現(xiàn)有的防護機制，都是值得我們深入思考的問題。

· 參考鏈接 ·

[1] https://www.talasecurity.io/