2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開帷幕。綠盟君已經(jīng)相繼向大家介紹了入選今年創(chuàng)新沙盒的十強(qiáng)初創(chuàng)公司：Elevate Security 、Sqreen和Tala Security三家廠商，下面將介紹的是：Tala Security。

一、公司介紹

Tala Security公司成立于2016年，總部位于美國(guó)加利福尼亞的弗里蒙特。其創(chuàng)始人兼CEO——Aanand Krishnan曾是Symantec(賽門鐵克)產(chǎn)品管理的高級(jí)總監(jiān)。據(jù)owler.com的數(shù)據(jù)顯示，Tala Security自成立以來(lái)已經(jīng)過(guò)4輪融資，總共籌集了850萬(wàn)美元。但crunchbase.com的數(shù)據(jù)則表明Tala Security已經(jīng)得到了1460萬(wàn)美元的融資。

二、產(chǎn)品介紹

Tala Security的官方網(wǎng)站上展示的唯一一款產(chǎn)品是“Client-side Web Application Firewall”(下簡(jiǎn)稱“Tala WAF”)。產(chǎn)品宣稱“具有強(qiáng)大的預(yù)防能力、自動(dòng)化決策能力和無(wú)與倫比的性能，可抵御XSS、Magecart，以及最重要的，抵御明天的攻擊”。按照官方網(wǎng)站的宣傳，Tala WAF的主要功能是檢測(cè)和防護(hù)各種針對(duì)WEB客戶端(瀏覽器)的攻擊。

三、技術(shù)分析

注：以下所有結(jié)論均通過(guò)公開資料整理推測(cè)得出，并非基于對(duì)實(shí)際產(chǎn)品的研究，可能并不反映Tala WAF產(chǎn)品的實(shí)際情況，僅供參考。

1. 整體運(yùn)作機(jī)制

從官方白皮書來(lái)看，Tala WAF的運(yùn)作主要依靠一些瀏覽器內(nèi)置安全機(jī)制。具體包括：

() 內(nèi)容安全策略(CSP)

由服務(wù)端指定策略，客戶端執(zhí)行策略，限制網(wǎng)頁(yè)可以加載的內(nèi)容;

一般通過(guò)“Content-Security-Policy”響應(yīng)首部或“<meta> ”標(biāo)簽進(jìn)行配置。

(2) 子資源完整性(SRI)

對(duì)網(wǎng)頁(yè)內(nèi)嵌資源(腳本、樣式、圖片等等)的完整性斷言。

(3) iFrame沙盒

限制網(wǎng)頁(yè)內(nèi)iframe的表單提交、腳本執(zhí)行等操作。

(4) Referrer策略

避免將網(wǎng)站URL通過(guò)“Referer”請(qǐng)求首部泄露給其它網(wǎng)站。

(5) HTTP嚴(yán)格傳輸安全(HSTS)

一定時(shí)間內(nèi)強(qiáng)制客戶端使用SSL/TLS訪問(wèn)網(wǎng)站，并禁止用戶忽略安全警告。

(6) 證書裝訂(暫譯，Certificate Stapling)

服務(wù)端會(huì)在SSL/TLS協(xié)商中附帶OCSP信息，以證實(shí)服務(wù)端證書的有效性。

如果能夠得到正確配置，CSP等客戶端安全機(jī)制無(wú)疑是應(yīng)對(duì)各類客戶端側(cè)攻擊的有效方法。官方白皮書中稱Tala WAF的核心功能是“在所有現(xiàn)代瀏覽器中動(dòng)態(tài)部署并持續(xù)調(diào)整基于標(biāo)準(zhǔn)的安全措施”。

由此推測(cè)，Tala WAF的關(guān)鍵機(jī)制有二：

• 自動(dòng)化生成和調(diào)整上述安全策略：和大部分的ACL一樣，要嚴(yán)格配置這些安全機(jī)制并不是一件容易的事情。
• 收集和分析這些安全策略的執(zhí)行記錄：由于CSP具有Report機(jī)制，要收集其執(zhí)行記錄應(yīng)該不算復(fù)雜。

最關(guān)鍵的部分是生成安全策略和分析執(zhí)行記錄的算法。對(duì)此，但綠盟君沒(méi)能找到任何有價(jià)值的公開信息。僅有的敘述來(lái)自官方網(wǎng)站：“Tala利用AI輔助分析引擎來(lái)評(píng)估網(wǎng)頁(yè)體系結(jié)構(gòu)和集成的50多個(gè)獨(dú)特指標(biāo)”。至于具體使用了何種模型則不得而知。

2. 細(xì)節(jié)分析

特別聲明：我們不會(huì)在未經(jīng)授權(quán)的情況下對(duì)他人網(wǎng)站采取任何進(jìn)攻性行為。以下測(cè)試僅通過(guò)查看和修改本地通信來(lái)測(cè)試瀏覽器CSP的實(shí)現(xiàn)效果，并不能表明Tala Security網(wǎng)站存在或不存在任何安全漏洞。

直接訪問(wèn)Tala Security官方網(wǎng)站，可見(jiàn)該網(wǎng)站的CSP配置如下：

可見(jiàn)是一組非常復(fù)雜的CSP，我們猜測(cè)Tala Security官方網(wǎng)站大概使用了Tala WAF。如果猜測(cè)屬實(shí)，其中有一些細(xì)節(jié)值得注意：

(1) CSP響應(yīng)首部

我們首先發(fā)現(xiàn)，響應(yīng)首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。這意味著即使頁(yè)面元素/腳本違背了CSP也不會(huì)被阻止，而是僅僅產(chǎn)生一條Report信息：

上圖可見(jiàn)，即使<script>標(biāo)簽缺少“nonce”屬性也能正常執(zhí)行，只是會(huì)產(chǎn)生Report信息。

由此猜想，Tala WAF可能也無(wú)法以非常高的信心生成嚴(yán)格的CSP(而不影響網(wǎng)站正常業(yè)務(wù))。Tala WAF可能會(huì)像態(tài)勢(shì)感知系統(tǒng)那樣，針對(duì)收集到的CSP Report信息使用某種異常檢測(cè)模型。

(2) CSP中的report-uri

Tala Security官方網(wǎng)站的report-uri指向站外地址

“https://pilot.tsrs.cloud/r/7d9925a3e964e7eb0ed12fa82e9a3f891ae28372”。該網(wǎng)址不知為何無(wú)法正常訪問(wèn)，也正好避免測(cè)試過(guò)程產(chǎn)生虛假告警。綠盟君多次嘗試刪除Cookie并更換IP地址后刷新頁(yè)面，但report-uri始終不變。

由此猜測(cè)，Tala WAF可能是以云服務(wù)形式提供的，report-uri中一長(zhǎng)串的hash可能唯一標(biāo)識(shí)一個(gè)被保護(hù)的網(wǎng)站。如此一來(lái)，用戶本地就能實(shí)現(xiàn)輕量化部署，且?guī)缀醪划a(chǎn)生性能損耗(官網(wǎng)宣稱的“no signatures, no agents”)，但也意味著用戶的CSP Report信息可能會(huì)被Tala Security公司收集。

(3) CSP的粒度

Tala Security官方網(wǎng)站的大量頁(yè)面(包括HTML、JS、CSS、甚至是圖片資源和302跳轉(zhuǎn)響應(yīng))都使用了相同的CSP配置。以下為測(cè)試中的部分記錄：

可見(jiàn)除了script-src中隨機(jī)生成的nonce值之外，其它字段全部相同。

由此猜測(cè)，Tala WAF可能是對(duì)網(wǎng)站整體的資源引用情況進(jìn)行分析，并產(chǎn)生一組靜態(tài)策略，隨后通過(guò)修改WEB中間件配置等方式應(yīng)用到整個(gè)網(wǎng)站中。按理說(shuō)，這是一種相對(duì)粗粒度的方法，當(dāng)網(wǎng)站業(yè)務(wù)構(gòu)成比較復(fù)雜時(shí)，可能難以有效發(fā)揮防護(hù)效果。但也不能排除有其它機(jī)制來(lái)適應(yīng)這些場(chǎng)景。

四、特征對(duì)比

1. 優(yōu)勢(shì)和創(chuàng)新點(diǎn)

Tala WAF似乎并不關(guān)注像SQL注入、任意文件上傳這樣的漏洞攻擊，但它能夠?qū)⒖蛻舳税踩珯C(jī)制活性化，從而檢測(cè)和阻止大部分常見(jiàn)的對(duì)客戶端攻擊，諸如XSS、挖礦腳本、廣告注入等。即使攻擊者能夠運(yùn)用各種五花八門的bypass技巧，在一套嚴(yán)格配置的CSP面前也會(huì)非?？鄲?。

綠盟君曾在應(yīng)急響應(yīng)中多次遇到通過(guò)推廣平臺(tái)發(fā)起的網(wǎng)頁(yè)篡改攻擊，其中大多數(shù)屬于黑產(chǎn)流量變現(xiàn)(可以簡(jiǎn)單理解為薅羊毛的一種)。由于廣告代理商層層外包，即使是一些看上去很正規(guī)的推廣平臺(tái)也可能會(huì)提供包含惡意代碼的廣告內(nèi)容。這些惡意代碼會(huì)嵌入到所有呈現(xiàn)該廣告的網(wǎng)站頁(yè)面上，并大面積攻擊訪問(wèn)這些網(wǎng)站頁(yè)面的用戶。目前的常規(guī)WEB應(yīng)用防護(hù)體系很難與之對(duì)抗，但Tala WAF的方法理應(yīng)可以有效防范此類攻擊。

又例如有些XSS的Payload不會(huì)出現(xiàn)在通信流量中，一種常見(jiàn)情況是URL中“#”后面的部分(通常用來(lái)控制頁(yè)面自動(dòng)滾動(dòng)定位)所構(gòu)成的DOM型XSS。常規(guī)網(wǎng)絡(luò)防護(hù)依賴對(duì)通信流量的檢查，因此很難發(fā)現(xiàn)這種XSS。但正確配置的CSP能夠阻止此類漏洞利用。

整體來(lái)說(shuō)，Tala WAF相對(duì)適合互聯(lián)網(wǎng)行業(yè)，尤其是電商零售領(lǐng)域的網(wǎng)站，因?yàn)檫@些網(wǎng)站往往具有大量的第三方資源引用。Tala WAF可能會(huì)成為現(xiàn)有WEB安全防護(hù)體系中一個(gè)非常重要的補(bǔ)充。

2. 劣勢(shì)與挑戰(zhàn)

從公開的資料來(lái)看，Tala WAF并不具備對(duì)常規(guī)漏洞入侵的防御能力，因此可能不適合單獨(dú)部署使用。Tala WAF可能也難以在企業(yè)內(nèi)網(wǎng)環(huán)境中發(fā)揮優(yōu)勢(shì)——內(nèi)部網(wǎng)站的內(nèi)容資源大多可控性很高，且接入云服務(wù)也很困難。

此外，Tala Sec一些外部挑戰(zhàn)。引用Gartner高級(jí)總監(jiān)分析師Dionisio Zumerle的觀點(diǎn)：“Tala Security面臨來(lái)自提供替代方法的供應(yīng)商的競(jìng)爭(zhēng)。一些應(yīng)用內(nèi)置保護(hù)的播放器提供客戶端JavaScript監(jiān)控。一些RAurity也面臨SP和WAF供應(yīng)商將CSP和SRI功能作為端到端應(yīng)用程序安全平臺(tái)的一部分來(lái)提供。此外，網(wǎng)站運(yùn)營(yíng)者對(duì)客戶端應(yīng)用程序的保護(hù)意識(shí)普遍不足。”

五、總結(jié)

長(zhǎng)期以來(lái)，大多數(shù)網(wǎng)站安全建設(shè)都著重于防止服務(wù)器被入侵或泄露數(shù)據(jù)，而Tala Security的思想確實(shí)彌補(bǔ)了現(xiàn)有體系的一個(gè)短板，當(dāng)之無(wú)愧為2020年度RSA大會(huì)的10大Sandbox創(chuàng)新廠商之一。不僅僅是CSP，如何能夠快速而精確地調(diào)整各種安全策略配置，如何能夠最大化地利用好現(xiàn)有的防護(hù)機(jī)制，都是值得我們深入思考的問(wèn)題。

· 參考鏈接 ·

[1] https://www.talasecurity.io/