2020年2月24日-28日,網路安全行業盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經相繼向大家介紹了入選今年創新沙盒的十強初創公司:Elevate Security 、Sqreen和Tala Security三家廠商,下面將介紹的是:Tala Security。
一、公司介紹
Tala Security公司成立於2016年,總部位於美國加利福尼亞的弗裡蒙特。其創始人兼CEO——Aanand Krishnan曾是Symantec(賽門鐵克)產品管理的高階總監。據owler.com的資料顯示,Tala Security自成立以來已經過4輪融資,總共籌集了850萬美元。但crunchbase.com的資料則表明Tala Security已經得到了1460萬美元的融資。
二、產品介紹
Tala Security的官方網站上展示的唯一一款產品是“Client-side Web Application Firewall”(下簡稱“Tala WAF”)。產品宣稱“具有強大的預防能力、自動化決策能力和無與倫比的效能,可抵禦XSS、Magecart,以及最重要的,抵禦明天的攻擊”。按照官方網站的宣傳,Tala WAF的主要功能是檢測和防護各種針對WEB客戶端(瀏覽器)的攻擊。
三、技術分析
注:以下所有結論均通過公開資料整理推測得出,並非基於對實際產品的研究,可能並不反映Tala WAF產品的實際情況,僅供參考。
01
整體運作機制
從官方白皮書來看,Tala WAF的運作主要依靠一些瀏覽器內建安全機制。具體包括:
1、內容安全策略(CSP)
由服務端指定策略,客戶端執行策略,限制網頁可以載入的內容;
一般通過“Content-Security-Policy”響應首部或“<meta>”標籤進行配置。
2、子資源完整性(SRI)
對網頁內嵌資源(指令碼、樣式、圖片等等)的完整性斷言。
3、iFrame沙盒
限制網頁內iframe的表單提交、指令碼執行等操作。
4、Referrer策略
避免將網站URL通過“Referer”請求首部洩露給其它網站。
5、HTTP嚴格傳輸安全(HSTS)
一定時間內強制客戶端使用SSL/TLS訪問網站,並禁止使用者忽略安全警告。
6、證照裝訂(暫譯,Certificate Stapling)
服務端會在SSL/TLS協商中附帶OCSP資訊,以證實服務端證照的有效性。
如果能夠得到正確配置,CSP等客戶端安全機制無疑是應對各類客戶端側攻擊的有效方法。官方白皮書中稱Tala WAF的核心功能是“在所有現代瀏覽器中動態部署並持續調整基於標準的安全措施”。
由此推測,Tala WAF的關鍵機制有二:
1、自動化生成和調整上述安全策略
和大部分的ACL一樣,要嚴格配置這些安全機制並不是一件容易的事情。
2、收集和分析這些安全策略的執行記錄
由於CSP具有Report機制,要收集其執行記錄應該不算複雜。
最關鍵的部分是生成安全策略和分析執行記錄的演算法。對此,但綠盟君沒能找到任何有價值的公開資訊。僅有的敘述來自官方網站:“Tala利用AI輔助分析引擎來評估網頁體系結構和整合的50多個獨特指標”。至於具體使用了何種模型則不得而知。
02
細節分析
特別宣告:我們不會在未經授權的情況下對他人網站採取任何進攻性行為。以下測試僅通過檢視和修改本地通訊來測試瀏覽器CSP的實現效果,並不能表明Tala Security網站存在或不存在任何安全漏洞。
直接訪問Tala Security官方網站,可見該網站的CSP配置如下:
可見是一組非常複雜的CSP,我們猜測Tala Security官方網站大概使用了Tala WAF。如果猜測屬實,其中有一些細節值得注意:
CSP響應首部
我們首先發現,響應首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。這意味著即使頁面元素/指令碼違背了CSP也不會被阻止,而是僅僅產生一條Report資訊:
上圖可見,即使<script>標籤缺少“nonce”屬性也能正常執行,只是會產生Report資訊。
由此猜想,Tala WAF可能也無法以非常高的信心生成嚴格的CSP(而不影響網站正常業務)。Tala WAF可能會像態勢感知系統那樣,針對收集到的CSP Report資訊使用某種異常檢測模型。
CSP中的report-uri
Tala Security官方網站的report-uri指向站外地址“https://pilot.tsrs.cloud/r/7d9925a3e964e7eb0ed12fa82e9a3f891ae28372”。該網址不知為何無法正常訪問,也正好避免測試過程產生虛假告警。綠盟君多次嘗試刪除Cookie並更換IP地址後重新整理頁面,但report-uri始終不變。
由此猜測,Tala WAF可能是以雲服務形式提供的,report-uri中一長串的hash可能唯一標識一個被保護的網站。如此一來,使用者本地就能實現輕量化部署,且幾乎不產生效能損耗(官網宣稱的“no signatures, no agents”),但也意味著使用者的CSP Report資訊可能會被Tala Security公司收集。
CSP的粒度
Tala Security官方網站的大量頁面(包括HTML、JS、CSS、甚至是圖片資源和302跳轉響應)都使用了相同的CSP配置。以下為測試中的部分記錄:
可見除了script-src中隨機生成的nonce值之外,其它欄位全部相同。
由此猜測,Tala WAF可能是對網站整體的資源引用情況進行分析,併產生一組靜態策略,隨後通過修改WEB中介軟體配置等方式應用到整個網站中。按理說,這是一種相對粗粒度的方法,當網站業務構成比較複雜時,可能難以有效發揮防護效果。但也不能排除有其它機制來適應這些場景。
四、特徵對比
01
優勢和創新點
Tala WAF似乎並不關注像SQL隱碼攻擊、任意檔案上傳這樣的漏洞攻擊,但它能夠將客戶端安全機制活性化,從而檢測和阻止大部分常見的對客戶端攻擊,諸如XSS、挖礦指令碼、廣告注入等。即使攻擊者能夠運用各種五花八門的bypass技巧,在一套嚴格配置的CSP面前也會非常苦惱。
綠盟君曾在應急響應中多次遇到通過推廣平臺發起的網頁篡改攻擊,其中大多數屬於黑產流量變現(可以簡單理解為薅羊毛的一種)。由於廣告代理商層層外包,即使是一些看上去很正規的推廣平臺也可能會提供包含惡意程式碼的廣告內容。這些惡意程式碼會嵌入到所有呈現該廣告的網站頁面上,並大面積攻擊訪問這些網站頁面的使用者。目前的常規WEB應用防護體系很難與之對抗,但Tala WAF的方法理應可以有效防範此類攻擊。
又例如有些XSS的Payload不會出現在通訊流量中,一種常見情況是URL中“#”後面的部分(通常用來控制頁面自動滾動定位)所構成的DOM型XSS。常規網路防護依賴對通訊流量的檢查,因此很難發現這種XSS。但正確配置的CSP能夠阻止此類漏洞利用。
整體來說,Tala WAF相對適合網際網路行業,尤其是電商零售領域的網站,因為這些網站往往具有大量的第三方資源引用。Tala WAF可能會成為現有WEB安全防護體系中一個非常重要的補充。
02
劣勢與挑戰
從公開的資料來看,Tala WAF並不具備對常規漏洞入侵的防禦能力,因此可能不適合單獨部署使用。Tala WAF可能也難以在企業內網環境中發揮優勢——內部網站的內容資源大多可控性很高,且接入雲服務也很困難。
此外,Tala Security也面臨一些外部挑戰。引用Gartner高階總監分析師Dionisio Zumerle的觀點:“Tala Security面臨來自提供替代方法的供應商的競爭。一些應用內建保護的播放器提供客戶端JavaScript監控。一些RASP和WAF供應商將CSP和SRI功能作為端到端應用程式安全平臺的一部分來提供。此外,網站運營者對客戶端應用程式的保護意識普遍不足。”
五、總結
長期以來,大多數網站安全建設都著重於防止伺服器被入侵或洩露資料,而Tala Security的思想確實彌補了現有體系的一個短板,當之無愧為2020年度RSA大會的10大Sandbox創新廠商之一。不僅僅是CSP,如何能夠快速而精確地調整各種安全策略配置,如何能夠最大化地利用好現有的防護機制,都是值得我們深入思考的問題。
· 參考連結 ·
[1] https://www.talasecurity.io/