2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣布了最終入選今年的創(chuàng)新沙盒十強(qiáng)初創(chuàng)公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟君將通過背景介紹、產(chǎn)品特點(diǎn)、點(diǎn)評(píng)分析等，帶大家了解入圍的十強(qiáng)廠商。今天，我們要介紹的是廠商是：Sqreen。

Sqreen公司是一家來自美國的網(wǎng)絡(luò)安全初創(chuàng)公司，總部在美國灣區(qū)，公司創(chuàng)立于2015年，目前完成三輪融資，最近是A輪融資，累積金額1800萬美元。其創(chuàng)始團(tuán)隊(duì)中CEO為Pierre Betouin，CTO為Jean-Baptiste Aviat，都來自前Apple的攻防團(tuán)隊(duì)。Sqreen聚焦于面向企業(yè)用戶的應(yīng)用程序安全防護(hù)解決方案，目的是在應(yīng)用開發(fā)以及安全運(yùn)營的場(chǎng)景下對(duì)應(yīng)用程序進(jìn)行實(shí)時(shí)監(jiān)控并進(jìn)行自主防護(hù)。目前Sqreen的產(chǎn)品被700多家客戶所采用，并在2019年被Gartner評(píng)選為安全和風(fēng)險(xiǎn)管理方面的Cool Vendor，2020年入選RSA大會(huì)創(chuàng)新沙盒決賽。

1. 背景介紹

攻擊應(yīng)用程序一直是網(wǎng)絡(luò)攻擊的一種常見入侵行為，隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，如今越來越多的應(yīng)用架構(gòu)遷移到客戶端，對(duì)應(yīng)用程序進(jìn)行保護(hù)是很多企業(yè)和個(gè)人都要面對(duì)的重要問題。Gartner預(yù)測(cè)到2022年，超過50%的針對(duì)點(diǎn)擊劫持和移動(dòng)應(yīng)用的攻擊都可以利用In-App解決方案進(jìn)行防御。內(nèi)置應(yīng)用程序(In-App)保護(hù)是對(duì)客戶端應(yīng)用程序使用自我保護(hù)技術(shù)，包括RASP等技術(shù)，這種技術(shù)跟傳統(tǒng)WAF最大的區(qū)別在于其部署在服務(wù)器端點(diǎn)上，而非網(wǎng)絡(luò)側(cè)，所以有更好的可視度(Visibility)和上下文細(xì)節(jié)。 Sqreen為企業(yè)提供應(yīng)用程序安全服務(wù)，通過一個(gè)微代理(microagent)，以模塊化的方式提供In-App WAF、RASP、虛擬補(bǔ)丁等安全防護(hù)能力，并可進(jìn)行自動(dòng)化監(jiān)控，并通過安全管理平臺(tái)可管理的應(yīng)用程序安全。

2. 產(chǎn)品介紹

Sqreen產(chǎn)品平臺(tái)主要包括應(yīng)用程序運(yùn)行時(shí)自我保護(hù)(RASP)以及In-App Web應(yīng)用防護(hù)系統(tǒng)(In-App WAF)。

(1) Sqreen RASP

Sqreen的RASP防護(hù)模塊可防護(hù)OWASP Top 10漏洞(例如SQL注入，XSS攻擊，代碼注入等)，從而降低數(shù)據(jù)泄漏帶來的風(fēng)險(xiǎn)。該RASP架構(gòu)可以在傳統(tǒng)的HTTP層防護(hù)外，有更深入的可視度和防護(hù)能力。啟用RASP很簡單，以代碼為nodejs語言的服務(wù)為例，可以運(yùn)行以下命令安裝對(duì)應(yīng)的sqreen微代理：

npm install sqreen 

然后在代碼開始處加載以下代碼，并重啟服務(wù)即可：

require("sqreen") 

由于RASP是跟服務(wù)代碼緊貼的，所以可以觀察到程序運(yùn)行的所有上下文，如請(qǐng)求響應(yīng)、變量和堆棧等信息，進(jìn)而通過利用請(qǐng)求的完整執(zhí)行上下文信息來識(shí)別在運(yùn)行時(shí)實(shí)際利用漏洞的攻擊，在阻止關(guān)鍵攻擊同時(shí)并不產(chǎn)生誤報(bào)。

該模塊不依賴簽名和模式匹配來防御，因?yàn)楹灻湍Ｊ狡ヅ淙菀自斐衫@過攻擊或者阻止正常流量。通過上下文分析判斷異?；驉阂庑袨?，所以其防御模式可以防護(hù)0-day攻擊而不觸發(fā)誤報(bào)。

(2) Sqreen In-App WAF

Sqreen的In-App WAF防護(hù)模塊利用前述獲得的應(yīng)用程序的完整上下文，結(jié)合傳統(tǒng)WAF的策略，最終形成了貼近業(yè)務(wù)的云原生WAF，擁有WAF功能的同時(shí)，誤報(bào)較低，且不需要頻繁的調(diào)整策略。與傳統(tǒng)WAF相比，In-App WAF部署簡單(見上)，無需重定向流量，上下文豐富，節(jié)約了安全運(yùn)維時(shí)間，并保證防護(hù)的安全性。

Sqreen的微代理試用智能堆棧檢測(cè)機(jī)制來學(xué)習(xí)堆棧信息，并不斷的根據(jù)變化的Web應(yīng)用程序調(diào)整防護(hù)策略，無需事先配置。這種便捷的自定義WAF規(guī)則機(jī)制使得小型企業(yè)避免應(yīng)用程序遭受高級(jí)業(yè)務(wù)邏輯威脅。

3. 產(chǎn)品特點(diǎn)

(1) Sqreen的產(chǎn)品采用微代理的結(jié)構(gòu)，企業(yè)用戶部署快速便捷

用戶只需要安裝Sqreen的微代理，在服務(wù)器上安裝插件即可。完成安裝后即可幫助用戶對(duì)應(yīng)用程序進(jìn)行運(yùn)行時(shí)安全監(jiān)控，報(bào)告可疑用戶活動(dòng)并在活動(dòng)時(shí)阻止攻擊，無需代碼修改或者進(jìn)行流量重定向。這種低成本并且快捷可靠的方式吸引了很多小型網(wǎng)絡(luò)公司成為其客戶。

(2) Sqreen的產(chǎn)品能夠自動(dòng)化防御攻擊，產(chǎn)品采用各個(gè)安全模塊進(jìn)行防護(hù)，包括RASP以及In-App WAF等。

這些模塊不需要復(fù)雜配置即可適應(yīng)于客戶的應(yīng)用程序?？梢苑烙鵒WASP Top10攻擊(例如注入攻擊，XSS攻擊等)，0-day攻擊，數(shù)據(jù)泄漏等攻擊?？梢詣?chuàng)建應(yīng)對(duì)高級(jí)業(yè)務(wù)邏輯威脅的安全自動(dòng)化處置策略。

(3) Sqreen的產(chǎn)品具備可擴(kuò)展的協(xié)作安全特點(diǎn)。

Sqreen為工程師和安全團(tuán)隊(duì)提供了一個(gè)中心平臺(tái)，將安全性分散到所有的應(yīng)用程序和微服務(wù)中。安全流程圖能夠幫助用戶了解當(dāng)前風(fēng)險(xiǎn)并確定修復(fù)補(bǔ)救工作的優(yōu)先級(jí)。不需要修改以及部署代碼就可以輕松的啟動(dòng)新的模塊進(jìn)行安全防護(hù)。

總結(jié)

WAF和RASP已經(jīng)是當(dāng)前Web安全防護(hù)的重要產(chǎn)品，特別是WAF，已成為大部分企業(yè)部署Web安全機(jī)制時(shí)都會(huì)用到的安全防護(hù)產(chǎn)品。但是由于傳統(tǒng)WAF以及RASP在防護(hù)部署過程中往往面臨部署困難、防護(hù)策略調(diào)整復(fù)雜問題占用了企業(yè)客戶的時(shí)間成本。

Sqreen提供了微代理的部署方式，這種方式部署快捷，可擴(kuò)展性強(qiáng)。而且不用重定向流量，因此保護(hù)過程不會(huì)引入網(wǎng)絡(luò)延遲。在Sqreen的防護(hù)模塊的安全監(jiān)控下，檢查HTTP請(qǐng)求是否存在惡意行為并檢查應(yīng)用程序的執(zhí)行流程，對(duì)關(guān)鍵文件、網(wǎng)絡(luò)訪問、命令執(zhí)行、SQL查詢等進(jìn)行分析，確保不會(huì)觸發(fā)漏洞。同時(shí)對(duì)用戶身份進(jìn)行監(jiān)控，發(fā)現(xiàn)可疑用戶上報(bào)。一旦識(shí)別出攻擊就采取阻斷，并在事后調(diào)查階段為開發(fā)人員和安全人員提供堆棧跟蹤信息，以便后續(xù)修復(fù)安全問題。

Sqreen的應(yīng)用程序安全防護(hù)微代理具備快速部署的優(yōu)勢(shì)，并且其技術(shù)壁壘高、商業(yè)化落地性比較好，有很強(qiáng)的應(yīng)用前景。

在當(dāng)前敏捷開發(fā)、微服務(wù)、服務(wù)網(wǎng)格、云原生的大背景下，應(yīng)用的復(fù)雜度也是大大增加，應(yīng)用安全的重要性日益增加，如何做好應(yīng)用安全也是非常大的挑戰(zhàn)。雖然前景光明，但Sqreen同樣存在挑戰(zhàn)。筆者認(rèn)為有如下幾點(diǎn)：

(1) 雖然Sqreen始終在強(qiáng)調(diào)部署方便，但即便是微代理，也還是一種代理(Agent)，在終端上部署安全機(jī)制會(huì)是很多客戶存在顧慮的地方。例如代理是否會(huì)占用業(yè)務(wù)服務(wù)器的各種資源，雖然沒有流量牽引的延遲，但本地分析各種上下文是否也會(huì)帶來額外的開銷;此外，安全應(yīng)用和業(yè)務(wù)應(yīng)用部署在同一個(gè)地方，會(huì)不會(huì)對(duì)業(yè)務(wù)團(tuán)隊(duì)的日常運(yùn)營帶來困擾?

現(xiàn)在云原生安全中比較火的istio項(xiàng)目，就是使用了sidecar envoy的方式，在業(yè)務(wù)側(cè)旁掛一個(gè)安全代理，所有的安全處理對(duì)業(yè)務(wù)是無感知的，這是真正的云原生。Sqreen自己宣稱的“云原生WAF”，除了可以擴(kuò)展的特點(diǎn)外，其他還需要經(jīng)過真正的考驗(yàn)。

(2) Sqreen雖然在提In-App WAF，但其形態(tài)中就是主機(jī)WAF(HWAF)，跟主流的網(wǎng)絡(luò)側(cè)WAF不是一個(gè)技術(shù)路線，是否能夠真正挑戰(zhàn)成熟的WAF市場(chǎng)還存疑。目前WAF的購買者通常認(rèn)為Web安全是安全方案，而將應(yīng)用安全歸為開發(fā)團(tuán)隊(duì)負(fù)責(zé)的解決方案。雖然這種局面隨著敏捷開發(fā)和DevSecOps的不斷推進(jìn)會(huì)有改善，但尚待時(shí)日。

總而言之，綠盟君認(rèn)為Sqreen不僅在本次RSA創(chuàng)新沙盒的競(jìng)爭(zhēng)中非常具備競(jìng)爭(zhēng)力，而且對(duì)Sqreen未來的發(fā)展前景看好。