2020年2月24日-28日，網(wǎng)絡安全行業(yè)盛會RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟君將通過背景介紹、產(chǎn)品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Sqreen。

Sqreen公司是一家來自美國的網(wǎng)絡安全初創(chuàng)公司，總部在美國灣區(qū)，公司創(chuàng)立于2015年，目前完成三輪融資，最近是A輪融資，累積金額1800萬美元。其創(chuàng)始團隊中CEO為Pierre Betouin，CTO為Jean-Baptiste Aviat，都來自前Apple的攻防團隊。Sqreen聚焦于面向企業(yè)用戶的應用程序安全防護解決方案，目的是在應用開發(fā)以及安全運營的場景下對應用程序進行實時監(jiān)控并進行自主防護。目前Sqreen的產(chǎn)品被700多家客戶所采用，并在2019年被Gartner評選為安全和風險管理方面的Cool Vendor，2020年入選RSA大會創(chuàng)新沙盒決賽。

1. 背景介紹

攻擊應用程序一直是網(wǎng)絡攻擊的一種常見入侵行為，隨著移動互聯(lián)網(wǎng)的發(fā)展，如今越來越多的應用架構(gòu)遷移到客戶端，對應用程序進行保護是很多企業(yè)和個人都要面對的重要問題。Gartner預測到2022年，超過50%的針對點擊劫持和移動應用的攻擊都可以利用In-App解決方案進行防御。內(nèi)置應用程序(In-App)保護是對客戶端應用程序使用自我保護技術，包括RASP等技術，這種技術跟傳統(tǒng)WAF最大的區(qū)別在于其部署在服務器端點上，而非網(wǎng)絡側(cè)，所以有更好的可視度(Visibility)和上下文細節(jié)。 Sqreen為企業(yè)提供應用程序安全服務，通過一個微代理(microagent)，以模塊化的方式提供In-App WAF、RASP、虛擬補丁等安全防護能力，并可進行自動化監(jiān)控，并通過安全管理平臺可管理的應用程序安全。

2. 產(chǎn)品介紹

Sqreen產(chǎn)品平臺主要包括應用程序運行時自我保護(RASP)以及In-App Web應用防護系統(tǒng)(In-App WAF)。

(1) Sqreen RASP

Sqreen的RASP防護模塊可防護OWASP Top 10漏洞(例如SQL注入，XSS攻擊，代碼注入等)，從而降低數(shù)據(jù)泄漏帶來的風險。該RASP架構(gòu)可以在傳統(tǒng)的HTTP層防護外，有更深入的可視度和防護能力。啟用RASP很簡單，以代碼為nodejs語言的服務為例，可以運行以下命令安裝對應的sqreen微代理：

npm install sqreen 

然后在代碼開始處加載以下代碼，并重啟服務即可：

require("sqreen") 

由于RASP是跟服務代碼緊貼的，所以可以觀察到程序運行的所有上下文，如請求響應、變量和堆棧等信息，進而通過利用請求的完整執(zhí)行上下文信息來識別在運行時實際利用漏洞的攻擊，在阻止關鍵攻擊同時并不產(chǎn)生誤報。

該模塊不依賴簽名和模式匹配來防御，因為簽名和模式匹配容易造成繞過攻擊或者阻止正常流量。通過上下文分析判斷異?；驉阂庑袨?，所以其防御模式可以防護0-day攻擊而不觸發(fā)誤報。

(2) Sqreen In-App WAF

Sqreen的In-App WAF防護模塊利用前述獲得的應用程序的完整上下文，結(jié)合傳統(tǒng)WAF的策略，最終形成了貼近業(yè)務的云原生WAF，擁有WAF功能的同時，誤報較低，且不需要頻繁的調(diào)整策略。與傳統(tǒng)WAF相比，In-App WAF部署簡單(見上)，無需重定向流量，上下文豐富，節(jié)約了安全運維時間，并保證防護的安全性。

Sqreen的微代理試用智能堆棧檢測機制來學習堆棧信息，并不斷的根據(jù)變化的Web應用程序調(diào)整防護策略，無需事先配置。這種便捷的自定義WAF規(guī)則機制使得小型企業(yè)避免應用程序遭受高級業(yè)務邏輯威脅。

3. 產(chǎn)品特點

(1) Sqreen的產(chǎn)品采用微代理的結(jié)構(gòu)，企業(yè)用戶部署快速便捷

用戶只需要安裝Sqreen的微代理，在服務器上安裝插件即可。完成安裝后即可幫助用戶對應用程序進行運行時安全監(jiān)控，報告可疑用戶活動并在活動時阻止攻擊，無需代碼修改或者進行流量重定向。這種低成本并且快捷可靠的方式吸引了很多小型網(wǎng)絡公司成為其客戶。

(2) Sqreen的產(chǎn)品能夠自動化防御攻擊，產(chǎn)品采用各個安全模塊進行防護，包括RASP以及In-App WAF等。

這些模塊不需要復雜配置即可適應于客戶的應用程序?？梢苑烙鵒WASP Top10攻擊(例如注入攻擊，XSS攻擊等)，0-day攻擊，數(shù)據(jù)泄漏等攻擊?？梢詣?chuàng)建應對高級業(yè)務邏輯威脅的安全自動化處置策略。

(3) Sqreen的產(chǎn)品具備可擴展的協(xié)作安全特點。

Sqreen為工程師和安全團隊提供了一個中心平臺，將安全性分散到所有的應用程序和微服務中。安全流程圖能夠幫助用戶了解當前風險并確定修復補救工作的優(yōu)先級。不需要修改以及部署代碼就可以輕松的啟動新的模塊進行安全防護。

總結(jié)

WAF和RASP已經(jīng)是當前Web安全防護的重要產(chǎn)品，特別是WAF，已成為大部分企業(yè)部署Web安全機制時都會用到的安全防護產(chǎn)品。但是由于傳統(tǒng)WAF以及RASP在防護部署過程中往往面臨部署困難、防護策略調(diào)整復雜問題占用了企業(yè)客戶的時間成本。

Sqreen提供了微代理的部署方式，這種方式部署快捷，可擴展性強。而且不用重定向流量，因此保護過程不會引入網(wǎng)絡延遲。在Sqreen的防護模塊的安全監(jiān)控下，檢查HTTP請求是否存在惡意行為并檢查應用程序的執(zhí)行流程，對關鍵文件、網(wǎng)絡訪問、命令執(zhí)行、SQL查詢等進行分析，確保不會觸發(fā)漏洞。同時對用戶身份進行監(jiān)控，發(fā)現(xiàn)可疑用戶上報。一旦識別出攻擊就采取阻斷，并在事后調(diào)查階段為開發(fā)人員和安全人員提供堆棧跟蹤信息，以便后續(xù)修復安全問題。

Sqreen的應用程序安全防護微代理具備快速部署的優(yōu)勢，并且其技術壁壘高、商業(yè)化落地性比較好，有很強的應用前景。

在當前敏捷開發(fā)、微服務、服務網(wǎng)格、云原生的大背景下，應用的復雜度也是大大增加，應用安全的重要性日益增加，如何做好應用安全也是非常大的挑戰(zhàn)。雖然前景光明，但Sqreen同樣存在挑戰(zhàn)。筆者認為有如下幾點：

(1) 雖然Sqreen始終在強調(diào)部署方便，但即便是微代理，也還是一種代理(Agent)，在終端上部署安全機制會是很多客戶存在顧慮的地方。例如代理是否會占用業(yè)務服務器的各種資源，雖然沒有流量牽引的延遲，但本地分析各種上下文是否也會帶來額外的開銷;此外，安全應用和業(yè)務應用部署在同一個地方，會不會對業(yè)務團隊的日常運營帶來困擾?

現(xiàn)在云原生安全中比較火的istio項目，就是使用了sidecar envoy的方式，在業(yè)務側(cè)旁掛一個安全代理，所有的安全處理對業(yè)務是無感知的，這是真正的云原生。Sqreen自己宣稱的“云原生WAF”，除了可以擴展的特點外，其他還需要經(jīng)過真正的考驗。

(2) Sqreen雖然在提In-App WAF，但其形態(tài)中就是主機WAF(HWAF)，跟主流的網(wǎng)絡側(cè)WAF不是一個技術路線，是否能夠真正挑戰(zhàn)成熟的WAF市場還存疑。目前WAF的購買者通常認為Web安全是安全方案，而將應用安全歸為開發(fā)團隊負責的解決方案。雖然這種局面隨著敏捷開發(fā)和DevSecOps的不斷推進會有改善，但尚待時日。

總而言之，綠盟君認為Sqreen不僅在本次RSA創(chuàng)新沙盒的競爭中非常具備競爭力，而且對Sqreen未來的發(fā)展前景看好。