2020年2月24日-28日，網絡安全行業盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經相繼向大家介紹了入選今年創新沙盒的十強初創公司：Elevate Security 、Sqreen和Tala Security三家廠商，下面將介紹的是：Tala Security。

一、公司介紹

Tala Security公司成立于2016年，總部位于美國加利福尼亞的弗里蒙特。其創始人兼CEO——Aanand Krishnan曾是Symantec(賽門鐵克)產品管理的高級總監。據owler.com的數據顯示，Tala Security自成立以來已經過4輪融資，總共籌集了850萬美元。但crunchbase.com的數據則表明Tala Security已經得到了1460萬美元的融資。

二、產品介紹

Tala Security的官方網站上展示的唯一一款產品是“Client-side Web Application Firewall”(下簡稱“Tala WAF”)。產品宣稱“具有強大的預防能力、自動化決策能力和無與倫比的性能，可抵御XSS、Magecart，以及最重要的，抵御明天的攻擊”。按照官方網站的宣傳，Tala WAF的主要功能是檢測和防護各種針對WEB客戶端(瀏覽器)的攻擊。

三、技術分析

注：以下所有結論均通過公開資料整理推測得出，并非基于對實際產品的研究，可能并不反映Tala WAF產品的實際情況，僅供參考。

1. 整體運作機制

從官方白皮書來看，Tala WAF的運作主要依靠一些瀏覽器內置安全機制。具體包括：

() 內容安全策略(CSP)

由服務端指定策略，客戶端執行策略，限制網頁可以加載的內容;

一般通過“Content-Security-Policy”響應首部或“<meta> ”標簽進行配置。

(2) 子資源完整性(SRI)

對網頁內嵌資源(腳本、樣式、圖片等等)的完整性斷言。

(3) iFrame沙盒

限制網頁內iframe的表單提交、腳本執行等操作。

(4) Referrer策略

避免將網站URL通過“Referer”請求首部泄露給其它網站。

(5) HTTP嚴格傳輸安全(HSTS)

一定時間內強制客戶端使用SSL/TLS訪問網站，并禁止用戶忽略安全警告。

(6) 證書裝訂(暫譯，Certificate Stapling)

服務端會在SSL/TLS協商中附帶OCSP信息，以證實服務端證書的有效性。

如果能夠得到正確配置，CSP等客戶端安全機制無疑是應對各類客戶端側攻擊的有效方法。官方白皮書中稱Tala WAF的核心功能是“在所有現代瀏覽器中動態部署并持續調整基于標準的安全措施”。

由此推測，Tala WAF的關鍵機制有二：

• 自動化生成和調整上述安全策略：和大部分的ACL一樣，要嚴格配置這些安全機制并不是一件容易的事情。
• 收集和分析這些安全策略的執行記錄：由于CSP具有Report機制，要收集其執行記錄應該不算復雜。

最關鍵的部分是生成安全策略和分析執行記錄的算法。對此，但綠盟君沒能找到任何有價值的公開信息。僅有的敘述來自官方網站：“Tala利用AI輔助分析引擎來評估網頁體系結構和集成的50多個獨特指標”。至于具體使用了何種模型則不得而知。

2. 細節分析

特別聲明：我們不會在未經授權的情況下對他人網站采取任何進攻性行為。以下測試僅通過查看和修改本地通信來測試瀏覽器CSP的實現效果，并不能表明Tala Security網站存在或不存在任何安全漏洞。

直接訪問Tala Security官方網站，可見該網站的CSP配置如下：

可見是一組非常復雜的CSP，我們猜測Tala Security官方網站大概使用了Tala WAF。如果猜測屬實，其中有一些細節值得注意：

(1) CSP響應首部

我們首先發現，響應首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。這意味著即使頁面元素/腳本違背了CSP也不會被阻止，而是僅僅產生一條Report信息：

上圖可見，即使<script>標簽缺少“nonce”屬性也能正常執行，只是會產生Report信息。

由此猜想，Tala WAF可能也無法以非常高的信心生成嚴格的CSP(而不影響網站正常業務)。Tala WAF可能會像態勢感知系統那樣，針對收集到的CSP Report信息使用某種異常檢測模型。

(2) CSP中的report-uri

Tala Security官方網站的report-uri指向站外地址

“https://pilot.tsrs.cloud/r/7d9925a3e964e7eb0ed12fa82e9a3f891ae28372”。該網址不知為何無法正常訪問，也正好避免測試過程產生虛假告警。綠盟君多次嘗試刪除Cookie并更換IP地址后刷新頁面，但report-uri始終不變。

由此猜測，Tala WAF可能是以云服務形式提供的，report-uri中一長串的hash可能唯一標識一個被保護的網站。如此一來，用戶本地就能實現輕量化部署，且幾乎不產生性能損耗(官網宣稱的“no signatures, no agents”)，但也意味著用戶的CSP Report信息可能會被Tala Security公司收集。

(3) CSP的粒度

Tala Security官方網站的大量頁面(包括HTML、JS、CSS、甚至是圖片資源和302跳轉響應)都使用了相同的CSP配置。以下為測試中的部分記錄：

可見除了script-src中隨機生成的nonce值之外，其它字段全部相同。

由此猜測，Tala WAF可能是對網站整體的資源引用情況進行分析，并產生一組靜態策略，隨后通過修改WEB中間件配置等方式應用到整個網站中。按理說，這是一種相對粗粒度的方法，當網站業務構成比較復雜時，可能難以有效發揮防護效果。但也不能排除有其它機制來適應這些場景。

四、特征對比

1. 優勢和創新點

Tala WAF似乎并不關注像SQL注入、任意文件上傳這樣的漏洞攻擊，但它能夠將客戶端安全機制活性化，從而檢測和阻止大部分常見的對客戶端攻擊，諸如XSS、挖礦腳本、廣告注入等。即使攻擊者能夠運用各種五花八門的bypass技巧，在一套嚴格配置的CSP面前也會非常苦惱。

綠盟君曾在應急響應中多次遇到通過推廣平臺發起的網頁篡改攻擊，其中大多數屬于黑產流量變現(可以簡單理解為薅羊毛的一種)。由于廣告代理商層層外包，即使是一些看上去很正規的推廣平臺也可能會提供包含惡意代碼的廣告內容。這些惡意代碼會嵌入到所有呈現該廣告的網站頁面上，并大面積攻擊訪問這些網站頁面的用戶。目前的常規WEB應用防護體系很難與之對抗，但Tala WAF的方法理應可以有效防范此類攻擊。

又例如有些XSS的Payload不會出現在通信流量中，一種常見情況是URL中“#”后面的部分(通常用來控制頁面自動滾動定位)所構成的DOM型XSS。常規網絡防護依賴對通信流量的檢查，因此很難發現這種XSS。但正確配置的CSP能夠阻止此類漏洞利用。

整體來說，Tala WAF相對適合互聯網行業，尤其是電商零售領域的網站，因為這些網站往往具有大量的第三方資源引用。Tala WAF可能會成為現有WEB安全防護體系中一個非常重要的補充。

2. 劣勢與挑戰

從公開的資料來看，Tala WAF并不具備對常規漏洞入侵的防御能力，因此可能不適合單獨部署使用。Tala WAF可能也難以在企業內網環境中發揮優勢——內部網站的內容資源大多可控性很高，且接入云服務也很困難。

此外，Tala Sec一些外部挑戰。引用Gartner高級總監分析師Dionisio Zumerle的觀點：“Tala Security面臨來自提供替代方法的供應商的競爭。一些應用內置保護的播放器提供客戶端JavaScript監控。一些RAurity也面臨SP和WAF供應商將CSP和SRI功能作為端到端應用程序安全平臺的一部分來提供。此外，網站運營者對客戶端應用程序的保護意識普遍不足。”

五、總結

長期以來，大多數網站安全建設都著重于防止服務器被入侵或泄露數據，而Tala Security的思想確實彌補了現有體系的一個短板，當之無愧為2020年度RSA大會的10大Sandbox創新廠商之一。不僅僅是CSP，如何能夠快速而精確地調整各種安全策略配置，如何能夠最大化地利用好現有的防護機制，都是值得我們深入思考的問題。

· 參考鏈接 ·

[1] https://www.talasecurity.io/