查看原文
其他

“浏览器隔离”是什么?为什么能夺得“RSA创新沙盒”冠军?

绵总 安在 2022-07-21




作为全球网络安全行业一年一度的盛宴,RSA Conference被誉为安全界的“奥林匹克”,是网络安全的重要风向标之一。6月6日,备受关注的Innovation Sandbox创新沙盒比赛最终结果出炉,来自以色列的企业安全浏览器厂商Talon Cyber Security荣膺“RSAC 2022最具创新初创企业”。



令人意外的是,今年的十强名单中,近半数企业与云原生安全有关,大部分与云安全有关,而Talon是少数几个和云没有直接关系的公司,它聚焦在端侧安全——浏览器隔离。



01远程浏览器隔离


通常来说,Web浏览器是企业里使用最普遍的应用程序,但安全部门对它的控制却最少。原因包括Web浏览器在安全性、控制性和合规性等方面的问题。安全性指的是由于公共互联网是安全漏洞不断产生的根源,安全问题日益严重。控制性指的是几乎看不到用户活动,运用内容撤防与重建(CDR)和数据丢失防护(DLP)机制(包括何人何时在何处下载/上传了文件)的能力也有限。合规性指的是无法跨地区控制数据和活动或采集必要的审计遥测数据,以满足日益严格的法规要求。这会导致遭受处罚和罚款的严重风险。


鉴于日常用户活动(例如电子邮件和Web浏览)会暴露漏洞,部分企业往往会采用一些例如限制使用等措施来保障安全。但由于是日常的业务需要,这些措施不可避免地给企业生产或员工使用带来实质性的负面影响。



当前缓解网页浏览中固有安全问题的方法主要基于签名技术,其作用目标是数据文件和可执行文件,以及已知的善意/恶意URL和DNS地址列表。这些方法面临着难题,无法及时掌握已知的攻击(文件签名、URL和DNS地址),本身也无力抵御零日攻击。黑客想出了自动工具来攻破基于签名的方法(生成大量具有未知签名的文件),还创建了数百万个临时网站来抗击URL/DNS阻止列表。


尽管这些方法肯定能阻挡某些攻击,但不断增多的事件数和安全漏洞的严重性显然表明需要更加有效的替代方法。浏览器隔离应运而生。


浏览器隔离背后的核心是通过物理隔离来确保安全,在用户的Web浏览器和端点设备之间创造一个“间隙”,从而保护设备或企业网路不被利用和攻击。安全Web 网关、防病毒软件或防火墙依靠已知的威胁模式或特征。浏览器隔离则采用的是一种零信任方法。


目前,浏览器隔离有两种主要架构,一是基于客户端的本地隔离,二是远程隔离。其中远程浏览器隔离(RBI)通过将浏览器移至云端的远程服务或企业网络内的独立本地服务器来保护端点。由于企业内的隔离只是将风险从端点转移到企业内部的另一处位置,没有真正消除风险,所以绝大多数浏览器隔离解决方案都利用基于云的远程隔离。


2017年,远程浏览器技术被列入Gartner顶级安全技术之一。浏览器隔离通常采用虚拟化或容器化技术将用户的Web浏览活动与端点设备隔离,以此减少恶意链接和文件的攻击面。其中,远程浏览器隔离将浏览活动从最终用户设备隔离到远程服务器,该服务器可以在公司内部部署(但不连接到公司的正规IT基础设施),也可以作为基于云的服务交付。


2018年,Gartner Research的一份名为“远程浏览器隔离的创新洞察”的研究报告就针对当时的RBI技术进行了调研。报告指出,公共互联网是一个充满攻击的污水池,其中许多攻击都是通过浏览网页或单击电子邮件中的URL等日常行为投递到企业用户。攻击者很容易绕过预防性控制,例如基于签名的恶意软件扫描、防火墙、安全Web网关(SWG)等。基于浏览器的攻击是攻击者针对合法用户的主要威胁载体,易受攻击的Web浏览器和插件是一个容易攻击的目标。无论我们认为自己在修补和阻止攻击方面有多好。参考这份报告中给出的改编自卡巴斯基实验室的图表,可见对浏览器的漏洞利用占到了网络攻击的42.6%。



2020年,另一份研究报告对远程浏览器隔离做出了很高的评价,其认为到2022年,隔离高风险互联网浏览和电子邮件URL访问的组织所受到的危及最终用户系统的攻击将减少70%。值得注意的是,远程浏览器隔离可以阻止勒索软件攻击,阻止它们加密用户设备上或企业共享存储中的文件,因为这两者都不能通过远程浏览器会话直接访问。


随着新冠疫情影响,远程办公成为刚需,但浏览器安全问题却始终没有得到妥善解决,RBI也因为用户体验等问题始终不能全面落地,就在这样的背景下,Talon Cyber Security诞生了。


02Talon Cyber Security的Talon Work


Talon Cyber Security是为分布式劳动力(远程办公)提供网络安全解决方案的提供商。作为下一代解决方案提供商,Talon旨在抵御分布式工作带来的新型威胁,其主打产品是一款面向企业的安全浏览器Talon Work。产品宣称“通过提供全面的安全性、简单的部署和无摩擦的用户体验(UX)来保护企业工作环境。可以在任何地方工作,也支持在自带设备(BYOD)上工作,而无需进行严格的设备管理或复杂而昂贵的网络控制”。






作为一家2021年才成立的初创公司,目前关于Talon Work的技术实现细节的资料仍然非常少。结合官网页面上的描述和产品白皮书,这些加固项如下:


▶ 浏览器隔离

将浏览器运行环境与本地系统环境隔离,以防范各类来自本地恶意程序或其它威胁主体的攻击。


▶ 浏览器安全配置

大概是指加强诸如本地缓存、Cookie、记住密码、浏览历史、SSL/TLS配置、XSS筛选器等原始浏览器本身就具备的功能。从官网白皮书看来,Talon Work可能在此基础上嵌入了更多安全选项。


▶ 对渲染引擎的加固

大概是指针对各类浏览器漏洞攻击的安全加固。此外,Talon Work还宣称可以阻止“攻击者经常用来操控浏览器的各种技术”,包括开发人员工具,恶意JavaScript、远程访问、浏览器调试等,以确保企业安全策略不被绕过。


▶ 数据篡改和泄露防护

Talon Work表示,其加密了本地存储的数据。在常规DLP方案中常见的功能,包括对打印、截屏、剪贴板操作等进行限制的功能也包含在其白皮书的介绍中。


▶ 浏览器扩展控制

即限制和管理浏览器上的扩展程序。比起禁止所有浏览器扩展程序,这种方法应该可以更好地适配各种架构的SaaS业务,并且提高用户体验。


▶ 传输安全

Talon Work有可能通过某种方式提高了中间人攻击的难度。推测可能使用了独立的SSL/TLS实现和独立的证书存储&验证机制。此外,Talon Work还宣称提供了一个可以直接在浏览器中使用的安全Web网关,支持对上传和下载的文件进行扫描,对URL进行过滤,记录网络日志并可视化呈现等,但暂无更详细的资料。


▶ 统一设备认证和管控

Talon Work提供一项“零信任”功能,该功能是指“可以配置SaaS仅允许Talon Work访问”。目前看来,Talon Work应该能够对用户设备进行认证和授权,也支持进行远程锁定和数据擦除,以满足企业对终端设备(包括用户自带设备)的集中管控需求。


▶ 统一授权和审计

Talon Work宣称其支持精确到具体SaaS功能的访问控制策略。


Talon Work的目标场景是以“分布式劳动力”为主,非常重视运行性能和兼容性。考虑到它的部署形式是一个相对而言非常轻量级的浏览器软件,这在部署成本、易用性、用户体验等方面都具备充分的优势。







03Talon Work与RBI的区别?


Talon Work和RBI以及VDI(Virtual Desktop Infrastructure)都是通过虚拟化的方式,提供远程的执行环境(浏览器或虚拟主机)。那么Talon Work具备哪些优势?


VDI虽然在以前企业本地侧还可用,在移动办公场景下服务质量(QoS)恐怕难以保证。


RBI提供了虚拟化的浏览器沙箱,与VDI相比进一步降低了虚拟化开销和网络传输开销,有不错的应用前景,但其用户体验还不尽如人意,目前在终端安全成熟度曲线的幻想破灭期,终端安全成熟度曲线(2021)如下图所示。



此外,VDI和RBI均是远程部署,如果在企业内部部署,解决不了随时办公的需求。如果部署在云端,用户体验则显著降低。如前所述,浏览器可以成为本地边界,安全机制越靠近用户,其防护效果约好,同时不破坏用户的使用体验,可以做到“无摩擦”,这也是安全赋能业务的最终目标。


远程浏览器采用虚拟化技术,不能提供细粒度的可视度和行为分析。而Talon Work在Chromium内核上实现了完整的浏览器功能和安全功能,可以捕获用户和程序的具体行为,进而做行为分析、数据泄露检测防护,具有比较细的控制粒度。


04专家意见


通过创新沙盒近五年(2018-2022)十强赛道分析,我们可以看出,50 家十强企业主要集中在云安全、数据安全、软件供应链安全、身份安全四个热门赛道。在以上四个赛道的创业企业共 39 家,占比达 78%。



其中不难发现,云安全不仅是创新沙盒最热门赛道,也是热度持续性最强的赛道。云安全赛道在一直演进,细分领域、技术方向不断演化,从基础设施到平台到应用,再到安全管理到云原生的业务安全。


2018年的重要热点是以容器安全为代表的基础设施安全,着重去解决云底层安全的问题。随着云业务的广泛开展,2019年云安全需求从基础设施扩展到了平台层面,除了容器安全外,出现了 API 安全,PaaS 技术成为了热点。2020年,云安全平台安全到了应用安全,热点从 PaaS 层面进入到了 SaaS 层面。2021年云安全热度稍微下降,其热度让位于数据安全和身份安全。到了今年,主打云原生的业务安全,也是创新沙盒云安全企业入围最多的一届,基于云原生的威胁管理,数字调查取证,云安全管理平台,资产管理成为热点。


虽然云安全在这次比赛中没能夺冠,但是安全浏览器也带来了更多新的思考。


友邦资讯科技云安全经理杜建荣表示,Talon夺冠意味着终端安全也是一种重要的且容易落地的安全能力。安全浏览器也可以具备有零信任入口,与云安全不冲突。作为浏览器一个轻量部署的(安全)工具,在易用性,部署成本,防御效果上都具备优势。而且在疫情远程办公趋势下,用户终端会变得更薄弱更需要防护,作为安全的木桶原则,加强脆弱面比探讨云原生方案更加落地可行。


某A+H股上市公司安全负责人孙琦认为,安全圈从来都是一个以解决实际问题为出发点的赛道。Talon把自己的产品定义为“安全的企业级浏览器”,这就是他们看到的安全薄弱点。传统云化服务的安全能力已经得到了有效的保证,从整个访问链路的角度看,端的防护还有待加强,即浏览器安全。我个人非常看好这个赛道,这也很可能成为下一个风口。消费级市场从来都是一个快速诞生奇迹的地方。


某大型跨国企业安全负责人李达则表示,虽然云安全话题很火热,但是第三方厂商很难做出非常有创造性的产品。因为第三方厂商非常依赖云供应商提供的底层能力,基于这些能力的产品的创新性很有限,且很容易被云厂商直接抄袭。
至于TALON,由于是以色列的解决方案,我个人认为在欧美等国外企业的使用概率会略大一些,但短期内企业不会考虑这个方案。因为这个产品继承了很多HOST-LEVEL已有的解决方案,部分功能企业目前已经有其他独立的解决方案。至于在我国落地,我持否定态度。我认为国内已经或很快就有企业做出和TALON类似的企业级浏览器方案,到那时,我国自主研发的解决方案在国内落实将会有前景。



在投资方看来,Talon并不一定能成为大的风向。


元起资本联合创始合伙人万熠表示,Talon Cyber Security将并不太新颖的浏览器隔离技术与当下热门的零信任框架相结合,形成了以体验为前提的,便捷的安全远程办公方案。未来,我国也必然会出现类似Talon这类的产品和方案。但是其能否成为一个大的投资机会还不能断言。当前办公一词太过于宽泛,大量的企业——尤其是中小企业的远程办公并不太涉及到本地系统的接入,更多的文档类处理或者是通过钉钉,飞书,企业微信等远程协同办公软件以及Saas应用实现。而内网本地业务的远程访问也有传统的vpn和现在的零信任接入方案。


05结语


Talon的夺冠意味着安全的企业级浏览器领域将受到更多的关注,去年,微软IE浏览器因漏洞问题被美国国土安全局警告,而我国部分银行的网银组件还依然仅支持IE浏览器。在浏览器隔离方面,目前我国还没有较大反响。当务之急是基于我国当前形势,建立并推广合适的浏览器安全方案,希望Talon的夺冠能够为我国的安全厂商带来新的指引和方向。





参考文献

RSA2022创新沙盒|Talon Cyber Security为何成最大赢家?——全球财经网


Cloudflare 远程浏览器隔离——资讯快报


RSAC 2022:从创新沙盒看网安技术创新趋势——虎符智库


RSA创新沙盒盘点 | Talon Cyber Security—面向企业的安全浏览器 ——绿盟科技



齐心抗疫 与你同在 





点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存