“浏览器隔离”是什么？为什么能夺得“RSA创新沙盒”冠军？

01

远程浏览器隔离

通常来说，Web浏览器是企业里使用最普遍的应用程序，但安全部门对它的控制却最少。原因包括Web浏览器在安全性、控制性和合规性等方面的问题。安全性指的是由于公共互联网是安全漏洞不断产生的根源，安全问题日益严重。控制性指的是几乎看不到用户活动，运用内容撤防与重建（CDR）和数据丢失防护（DLP）机制（包括何人何时在何处下载/上传了文件）的能力也有限。合规性指的是无法跨地区控制数据和活动或采集必要的审计遥测数据，以满足日益严格的法规要求。这会导致遭受处罚和罚款的严重风险。

鉴于日常用户活动（例如电子邮件和Web浏览）会暴露漏洞，部分企业往往会采用一些例如限制使用等措施来保障安全。但由于是日常的业务需要，这些措施不可避免地给企业生产或员工使用带来实质性的负面影响。

当前缓解网页浏览中固有安全问题的方法主要基于签名技术，其作用目标是数据文件和可执行文件，以及已知的善意/恶意URL和DNS地址列表。这些方法面临着难题，无法及时掌握已知的攻击（文件签名、URL和DNS地址），本身也无力抵御零日攻击。黑客想出了自动工具来攻破基于签名的方法（生成大量具有未知签名的文件），还创建了数百万个临时网站来抗击URL/DNS阻止列表。

尽管这些方法肯定能阻挡某些攻击，但不断增多的事件数和安全漏洞的严重性显然表明需要更加有效的替代方法。浏览器隔离应运而生。

浏览器隔离背后的核心是通过物理隔离来确保安全，在用户的Web浏览器和端点设备之间创造一个“间隙”，从而保护设备或企业网路不被利用和攻击。安全Web 网关、防病毒软件或防火墙依靠已知的威胁模式或特征。浏览器隔离则采用的是一种零信任方法。

目前，浏览器隔离有两种主要架构，一是基于客户端的本地隔离，二是远程隔离。其中远程浏览器隔离（RBI）通过将浏览器移至云端的远程服务或企业网络内的独立本地服务器来保护端点。由于企业内的隔离只是将风险从端点转移到企业内部的另一处位置，没有真正消除风险，所以绝大多数浏览器隔离解决方案都利用基于云的远程隔离。

2017年，远程浏览器技术被列入Gartner顶级安全技术之一。浏览器隔离通常采用虚拟化或容器化技术将用户的Web浏览活动与端点设备隔离，以此减少恶意链接和文件的攻击面。其中，远程浏览器隔离将浏览活动从最终用户设备隔离到远程服务器，该服务器可以在公司内部部署（但不连接到公司的正规IT基础设施），也可以作为基于云的服务交付。

2018年，Gartner Research的一份名为“远程浏览器隔离的创新洞察”的研究报告就针对当时的RBI技术进行了调研。报告指出，公共互联网是一个充满攻击的污水池，其中许多攻击都是通过浏览网页或单击电子邮件中的URL等日常行为投递到企业用户。攻击者很容易绕过预防性控制，例如基于签名的恶意软件扫描、防火墙、安全Web网关（SWG）等。基于浏览器的攻击是攻击者针对合法用户的主要威胁载体，易受攻击的Web浏览器和插件是一个容易攻击的目标。无论我们认为自己在修补和阻止攻击方面有多好。参考这份报告中给出的改编自卡巴斯基实验室的图表，可见对浏览器的漏洞利用占到了网络攻击的42.6%。

2020年，另一份研究报告对远程浏览器隔离做出了很高的评价，其认为到2022年，隔离高风险互联网浏览和电子邮件URL访问的组织所受到的危及最终用户系统的攻击将减少70%。值得注意的是，远程浏览器隔离可以阻止勒索软件攻击，阻止它们加密用户设备上或企业共享存储中的文件，因为这两者都不能通过远程浏览器会话直接访问。

随着新冠疫情影响，远程办公成为刚需，但浏览器安全问题却始终没有得到妥善解决，RBI也因为用户体验等问题始终不能全面落地，就在这样的背景下，Talon Cyber Security诞生了。

02

Talon Cyber Security的Talon Work

Talon Cyber Security是为分布式劳动力（远程办公）提供网络安全解决方案的提供商。作为下一代解决方案提供商，Talon旨在抵御分布式工作带来的新型威胁，其主打产品是一款面向企业的安全浏览器Talon Work。产品宣称“通过提供全面的安全性、简单的部署和无摩擦的用户体验（UX）来保护企业工作环境。可以在任何地方工作，也支持在自带设备（BYOD）上工作，而无需进行严格的设备管理或复杂而昂贵的网络控制”。

03

Talon Work与RBI的区别？

Talon Work和RBI以及VDI（Virtual Desktop Infrastructure）都是通过虚拟化的方式，提供远程的执行环境（浏览器或虚拟主机）。那么Talon Work具备哪些优势？

VDI虽然在以前企业本地侧还可用，在移动办公场景下服务质量（QoS）恐怕难以保证。

RBI提供了虚拟化的浏览器沙箱，与VDI相比进一步降低了虚拟化开销和网络传输开销，有不错的应用前景，但其用户体验还不尽如人意，目前在终端安全成熟度曲线的幻想破灭期，终端安全成熟度曲线（2021）如下图所示。

此外，VDI和RBI均是远程部署，如果在企业内部部署，解决不了随时办公的需求。如果部署在云端，用户体验则显著降低。如前所述，浏览器可以成为本地边界，安全机制越靠近用户，其防护效果约好，同时不破坏用户的使用体验，可以做到“无摩擦”，这也是安全赋能业务的最终目标。

远程浏览器采用虚拟化技术，不能提供细粒度的可视度和行为分析。而Talon Work在Chromium内核上实现了完整的浏览器功能和安全功能，可以捕获用户和程序的具体行为，进而做行为分析、数据泄露检测防护，具有比较细的控制粒度。

04

专家意见

通过创新沙盒近五年（2018-2022）十强赛道分析，我们可以看出，50 家十强企业主要集中在云安全、数据安全、软件供应链安全、身份安全四个热门赛道。在以上四个赛道的创业企业共 39 家，占比达 78%。

其中不难发现，云安全不仅是创新沙盒最热门赛道，也是热度持续性最强的赛道。云安全赛道在一直演进，细分领域、技术方向不断演化，从基础设施到平台到应用，再到安全管理到云原生的业务安全。

2018年的重要热点是以容器安全为代表的基础设施安全，着重去解决云底层安全的问题。随着云业务的广泛开展，2019年云安全需求从基础设施扩展到了平台层面，除了容器安全外，出现了 API 安全，PaaS 技术成为了热点。2020年，云安全平台安全到了应用安全，热点从 PaaS 层面进入到了 SaaS 层面。2021年云安全热度稍微下降，其热度让位于数据安全和身份安全。到了今年，主打云原生的业务安全，也是创新沙盒云安全企业入围最多的一届，基于云原生的威胁管理，数字调查取证，云安全管理平台，资产管理成为热点。

虽然云安全在这次比赛中没能夺冠，但是安全浏览器也带来了更多新的思考。

友邦资讯科技云安全经理杜建荣表示，Talon夺冠意味着终端安全也是一种重要的且容易落地的安全能力。安全浏览器也可以具备有零信任入口，与云安全不冲突。作为浏览器一个轻量部署的（安全）工具，在易用性，部署成本，防御效果上都具备优势。而且在疫情远程办公趋势下，用户终端会变得更薄弱更需要防护，作为安全的木桶原则，加强脆弱面比探讨云原生方案更加落地可行。

某A+H股上市公司安全负责人孙琦认为，安全圈从来都是一个以解决实际问题为出发点的赛道。Talon把自己的产品定义为“安全的企业级浏览器”，这就是他们看到的安全薄弱点。传统云化服务的安全能力已经得到了有效的保证，从整个访问链路的角度看，端的防护还有待加强，即浏览器安全。我个人非常看好这个赛道，这也很可能成为下一个风口。消费级市场从来都是一个快速诞生奇迹的地方。

在投资方看来，Talon并不一定能成为大的风向。

元起资本联合创始合伙人万熠表示，Talon Cyber Security将并不太新颖的浏览器隔离技术与当下热门的零信任框架相结合，形成了以体验为前提的，便捷的安全远程办公方案。未来，我国也必然会出现类似Talon这类的产品和方案。但是其能否成为一个大的投资机会还不能断言。当前办公一词太过于宽泛，大量的企业——尤其是中小企业的远程办公并不太涉及到本地系统的接入，更多的文档类处理或者是通过钉钉，飞书，企业微信等远程协同办公软件以及Saas应用实现。而内网本地业务的远程访问也有传统的vpn和现在的零信任接入方案。

05

结语

Talon的夺冠意味着安全的企业级浏览器领域将受到更多的关注，去年，微软IE浏览器因漏洞问题被美国国土安全局警告，而我国部分银行的网银组件还依然仅支持IE浏览器。在浏览器隔离方面，目前我国还没有较大反响。当务之急是基于我国当前形势，建立并推广合适的浏览器安全方案，希望Talon的夺冠能够为我国的安全厂商带来新的指引和方向。