RSA創新沙盒盤點 | Talon Cyber Security——面向企業的安全瀏覽器

RSAConference2022將於舊金山時間6月6日召開。大會的Innovation Sandbox（沙盒）大賽作為“安全圈的奧斯卡”，每年都備受矚目，成為全球網路安全行業技術創新和投資的風向標。

前不久，RSA官方宣佈了最終入選創新沙盒的十強初創公司：Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Talon Cyber Security。

一、公司簡介
Talon Cyber Security（以下簡稱Talon）是為分散式勞動力（遠端辦公）提供網路安全解決方案的提供商。作為下一代解決方案提供商，Talon旨在抵禦分散式工作帶來的新型威脅[1]。

圖1 Talon Cyber Security聯合創始人Ohad Bobrov（左）和Ofer Ben-Noon（右）

Talon有兩位已知的創始人（見上圖1[2]），其中一位Ohad Bobrov同時也是Lacoon Mobile Security公司的創始人和CTO，而另一位Ofer Ben-Noon曾擔任以色列網路情報單位8200的上尉，並且是兩個以色列國防獎獲獎專案的團隊成員[1]。然而，除了兩位創始人外，我們未能找到其它關於公司僱員人數、崗位構成、市場營收等情況的詳細資訊。截至本文釋出時，Talon已經過兩輪融資，總額4300萬美元[1]。

Talon的主打產品是一款面向企業的安全瀏覽器TalonWork。產品宣稱“通過提供全面的安全性、簡單的部署和無摩擦的使用者體驗（UX）來保護企業工作環境。可以在任何地方工作，也支援在自帶裝置（BYOD）上工作，而無需進行嚴格的裝置管理或複雜而昂貴的網路控制”[3]。

此外，Talon也提供一些關於零信任和自帶裝置的安全產品。

二、產品背景
實際上，針對瀏覽器的攻擊在過去幾十年間一直都很活躍。在數量龐大的漏洞洗禮之下，瀏覽器隔離技術應運而生。早在2017年，遠端瀏覽器技術就被列入Gartner頂級安全技術之一[4]。瀏覽器隔離通常利用虛擬化或容器化技術將使用者的Web瀏覽活動與端點裝置隔離，藉此顯著減少惡意連結和檔案的攻擊面[5]。其中，遠端瀏覽器隔離將瀏覽活動從終端使用者裝置隔離到遠端伺服器，該伺服器可以在公司內部部署（但不連線到公司的正規IT基礎設施），也可以作為基於雲的服務交付[6]。

2018年，Gartner Research的一份名為“遠端瀏覽器隔離的創新洞察”的研究報告就針對當時的瀏覽器隔離（RBI）技術進行了較為完善的調研[7]。報告指出，“公共網際網路是一個充滿攻擊的汙水池，其中許多攻擊都是通過瀏覽網頁或單擊電子郵件中的URL等日常行為投遞到企業使用者。攻擊者很容易繞過預防性控制，例如基於簽名的惡意軟體掃描、防火牆、安全Web閘道器（SWG）等。基於瀏覽器的攻擊是攻擊者針對合法使用者的主要威脅載體，易受攻擊的Web瀏覽器和外掛是一個容易攻擊的目標。無論我們認為自己在修補和阻止攻擊方面有多好”。參考這份報告中給出的、改編自卡巴斯基實驗室的圖表（見下圖2），可見對瀏覽器的漏洞利用佔到了網路攻擊的42.6%。

圖2 網路攻擊中所使用的漏洞分佈
2020年，另一份研究報告[8]對遠端瀏覽器隔離做出了很高的評價，認為“到2022年，隔離高風險網際網路瀏覽和電子郵件URL訪問的組織所受到的危及終端使用者系統的攻擊將減少70%。值得注意的是，遠端瀏覽器隔離可以阻止勒索軟體攻擊，阻止它們加密使用者裝置上或企業共享儲存中的檔案，因為這兩者都不能通過遠端瀏覽器會話直接訪問”。

除上述的研究背景外，常規的瀏覽器隔離技術（不論本地還是遠端）主要都是針對瀏覽器漏洞利用的防護措施，而對於其它與瀏覽器相關的安全需求（身份和裝置認證、授權、審計、資料防洩漏等等）並沒有特別關注。

TalonWork就在這樣的背景下誕生了。

三、功能特點
想必大家最關心的還是TalonWork具體進行了哪些方面的安全加固，但作為一家2021年才成立的初創公司，目前關於技術實現細節的資料仍然非常少。結合官網頁面上的描述和產品白皮書，這些加固項大致整理如下。

01瀏覽器基礎設施加固
作為一個瀏覽器安全方案，首先需要解決的就是針對瀏覽器的各種漏洞攻擊。目前看來，TalonWork在防範對瀏覽器攻擊方面的主要工作包括：

瀏覽器隔離
即將瀏覽器執行環境與本地系統環境隔離，以防範各類來自本地惡意程式或其它威脅主體的攻擊。雖然缺少具體隔離方案實現的細節，但由於TalonWork支援諸多執行環境，我們略微傾向於相信它是基於某種沙箱方案實現的（而不是靠虛擬化或容器化等）。

瀏覽器安全配置
直觀理解，大概是指加強諸如本地快取、Cookie、記住密碼、瀏覽歷史、SSL/TLS配置、XSS篩選器等原始瀏覽器本身就具備的安全配置功能。從官網白皮書看來，TalonWork可能在此基礎上嵌入了更多安全選項，但具體有哪些選項還不得而知。

對渲染引擎的加固
大概是指標對各類瀏覽器漏洞攻擊的安全加固，但考慮到已公開漏洞按理說可以直接適用原始瀏覽器更新補丁，此項功能可能是額外的、不針對特定漏洞的加固措施。此外，TalonWork還宣稱可以阻止“攻擊者經常用來操控瀏覽器的各種技術”，包括開發人員工具，惡意JavaScript、遠端訪問、瀏覽器除錯等，以確保企業安全策略不被繞過。

資料篡改和洩露防護
這部分功能在官方文件中的描述相對較多。具體來說，TalonWork首先對本地儲存的資料進行了加密。我們猜測這有可能是和瀏覽器隔離方案同步進行的，即針對被隔離的執行環境整體進行檔案系統透明加密，但也不排除其它實現方式的可能性。其它在常規DLP方案中常見的功能，包括對列印、截圖、剪貼簿操作等進行限制的功能也包含在該產品的白皮書介紹中。

瀏覽器擴充套件控制
即限制和管理瀏覽器上的擴充套件程式。比起一刀切地禁止所有瀏覽器擴充套件程式，這種方法應該能夠更好地適配各種架構的SaaS業務，並且提高使用者體驗。官方網站上給出了一張關於瀏覽器擴充套件程式管理的介面概念圖（見下圖3）。

圖3 官方網站上關於瀏覽器擴充套件程式管理的介面概念圖

傳輸安全
從宣傳材料看來，TalonWork可能通過某種方式提高了中間人攻擊的難度。參考近年來對瀏覽器MITM攻擊的成功案例，推測TalonWork可能使用了獨立的SSL/TLS實現和獨立的證照儲存&驗證機制。此外，TalonWork還宣稱提供了一個可以直接在瀏覽器中使用的安全Web閘道器，支援對上傳和下載的檔案進行掃描，對URL進行過濾，記錄網路日誌並視覺化呈現等。關於這個安全Web閘道器的具體實現方式（本地代理、雲服務，還是其它架構）尚無詳細資料。

02訪問控制和集中管控
統一裝置認證和管控
TalonWork提供一項“零信任”功能，但參考官網白皮書，該功能是指“可以配置SaaS僅允許TalonWork訪問”，可能和一般意義上理解的零信任網路架構不太一樣。但目前看來，TalonWork應該能夠對使用者裝置進行認證和授權，也支援進行遠端鎖定和資料擦除，以滿足企業對終端裝置（包括使用者自帶裝置）的集中管控需求。

統一授權和審計
TalonWork宣稱其支援精確到具體SaaS功能的訪問控制策略。由於SaaS服務可以被限制只有通過TalonWork瀏覽器才能訪問它，TalonWork理應可以在這個過程中完整記錄所有的使用者操作行為，並聲稱可以利用這一點來滿足藍隊取證、識別影子IT，以及其它相關需求。官方網站上給出了兩張關於瀏覽器端行為管控的介面概念圖（見下圖4）。

圖4 官方網站上關於瀏覽器端行為管控的介面概念圖2

不得不說，如果真的能夠確保所有訪問網站的使用者行為都是可識別、可審計的，那麼這個訪問控制和審計的粒度會遠遠超過大部分通過審計網路流量和服務端活動實現的傳統方案。但是，SaaS應用中的功能往往非常複雜多樣，要通過外部的訪問控制策略來限制使用者對SaaS的訪問，據我們所知目前大部分WAF在實際部署過程中都心有餘而力不足。而TalonWork的現有資料似乎都沒有提及其具體通過何種方式來生成如此細粒度的訪問控制策略，這一點可能需要等待更多技術細節披露後再進行分析。

注：“影子IT”通常泛指各種未經企業IT部門批准的、業務部門自行引入的IT軟硬體解決方案。

03部署和相容性
本地部署
雖然宣傳材料中沒有明確指出，但諸多碎片資訊表明TalonWork是部署在使用者本地終端上面的。如果說TalonWork相比於現有的RBI方案最突出的優勢，應該就是使用者體驗了。作為一個對比，我們可以參考知名公司Cloudflare的零信任RBI方案，從官網宣傳視訊[9]可見，各種訪問控制功能也應有盡有（見下圖5）。

圖5 Cloudflare的零信任RBI方案宣傳材料

參考研究報告[7]中所指出的RBI技術存在的侷限，例如：對Linux伺服器上無法執行的瀏覽器（IE、Safari等）相容性不足、遠端渲染的視訊傳輸效能低下，以及難以執行涉及本地瀏覽器上下文的應用程式（如定位服務）等。如果TalonWork是在本地裝置上執行，那麼上述問題理應不難解決。本地隔離方案可能被認為不如遠端瀏覽器隔離技術更加安全（相比之下更容易遭受本地惡意程式或勒索軟體等攻擊），但確實可以一站式地解決大量效能和相容性問題。

其它相容性問題
從官網宣傳頁看來，TalonWork是基於Chromium實現的，而後者是一款家喻戶曉的開源瀏覽器專案，足以支撐絕大多數場景的相容性。然而，二次開發軟體的更新通常是一個難題。由於對原始專案的程式碼進行了修改，二次開發專案可能難以直接適用原始專案的程式碼提交，而難以保持良好的更新頻率。Talon官網宣稱“可確保高效能、定期更新和原生使用者體驗”，但並沒有具體說明是如何實現，這一點仍有待觀察。此外，TalonWork白皮書中還宣稱包含對嵌入式VPN和多因素認證（MFA）的支援，但由於缺少具體實現的相關介紹，我們尚不能瞭解這些功能的全貌。

四、總結
相比於其它常規的堡壘機、4A或零信任方案，TalonWork在安全防護功能上似乎並沒有什麼特別突出的表現。包括對本地環境的安全管控、各種訪問控制和審計等，傳統方案按理說也足以覆蓋TalonWork的大部分安全功能。但是，TalonWork的目標場景是以“分散式勞動力”為主，非常重視執行效能和相容性。考慮到它的部署形式是一個相對而言非常輕量級的瀏覽器軟體，這在部署成本、易用性、使用者體驗等方面都具備充分的優勢。

如何在安全和業務成本之間取得平衡，一直以來都是行業探索的關鍵問題之一。我們認為，Talon在滿足使用者安全需求的前提下，通過獨特的部署模式在安全和業務之間取得了較好的平衡，故而成功入圍本屆RSAC創新沙盒決賽。

參考文獻
[1] Talon Cyber Security - Crunchbase Company Profile & Funding [J/OL] 2022, https://www.crunchbase.com/organization/talon-cyber-security.
[2] Talon Cyber Security Closes $43M For Browser-Based Provider [J/OL] 2022, https://nocamels.com/2022/02/talon-cyber-security-browser/.
[3] Solution Brief TalonWork [J/OL] 2022, https://talon-sec.com/wp-content/uploads/2022/02/Talon-solution-brief.pdf.
[4] FORNI A A, MEULEN R V D. Gartner Identifies the Top Technologies for Security in 2017 [J/OL] 2017, https://www.gartner.com/en/newsroom/press-releases/2017-06-14-gartner-identifies-the-top-technologies-for-security-in-2017.
[5] Browser isolation [J/OL] 2022, https://en.wikipedia.org/wiki/Browser_isolation.
[6] WITTS J. How Does Browser Isolation Work? [J/OL] 2022, https://expertinsights.com/insights/how-does-browser-isolation-work/.
[7] MACDONALD N. Innovation Insight for Remote Browser Isolation [R]. Gartner Research, 2018.
[8] DIONISIO ZUMERLE R S. Hype Cycle for Endpoint Security, 2020 [R]. Gartner Research, 2020.
[9] 使用零信任瀏覽保護團隊 [J/OL] 2022, https://www.cloudflare.com/zh-cn/products/zero-trust/browser-isolation/.