RSA 創新沙盒盤點| Sqreen——WAF和RASP綜合解決方案

2020年2月24日-28日，網路安全行業盛會RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣佈了最終入選今年的創新沙盒十強初創公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家瞭解入圍的十強廠商。今天，我們要介紹的是廠商是：Sqreen。

    Sqreen公司是一家來自美國的網路安全初創公司，總部在美國灣區，公司創立於2015年，目前完成三輪融資，最近是A輪融資，累積金額1800萬美元。其創始團隊中CEO為Pierre Betouin，CTO為Jean-Baptiste Aviat，都來自前Apple的攻防團隊。Sqreen聚焦於面向企業使用者的應用程式安全防護解決方案，目的是在應用開發以及安全運營的場景下對應用程式進行實時監控並進行自主防護。目前Sqreen的產品被700多家客戶所採用，並在2019年被Gartner評選為安全和風險管理方面的Cool Vendor，2020年入選RSA大會創新沙盒決賽。

1.背景介紹

    攻擊應用程式一直是網路攻擊的一種常見入侵行為，隨著移動網際網路的發展，如今越來越多的應用架構遷移到客戶端，對應用程式進行保護是很多企業和個人都要面對的重要問題。Gartner預測到2022年，超過50%的針對點選劫持和移動應用的攻擊都可以利用In-App解決方案進行防禦。內建應用程式（In-App）保護是對客戶端應用程式使用自我保護技術，包括RASP等技術，這種技術跟傳統WAF最大的區別在於其部署在伺服器端點上，而非網路側，所以有更好的可視度（Visibility）和上下文細節。 Sqreen為企業提供應用程式安全服務，通過一個微代理（microagent），以模組化的方式提供In-App WAF、RASP、虛擬補丁等安全防護能力，並可進行自動化監控，並通過安全管理平臺可管理的應用程式安全。

2.產品介紹

Sqreen產品平臺主要包括應用程式執行時自我保護（RASP）以及In-App Web應用防護系統（In-App WAF）。

2.1 Sqreen RASP

Sqreen的RASP防護模組可防護OWASP Top 10漏洞（例如SQL隱碼攻擊，XSS攻擊，程式碼注入等），從而降低資料洩漏帶來的風險。該RASP架構可以在傳統的HTTP層防護外，有更深入的可視度和防護能力。啟用RASP很簡單，以程式碼為nodejs語言的服務為例，可以執行以下命令安裝對應的sqreen微代理：

npm install sqreen

然後在程式碼開始處載入以下程式碼，並重啟服務即可：

require("sqreen")

由於RASP是跟服務程式碼緊貼的，所以可以觀察到程式執行的所有上下文，如請求響應、變數和堆疊等資訊，進而通過利用請求的完整執行上下文資訊來識別在執行時實際利用漏洞的攻擊，在阻止關鍵攻擊同時並不產生誤報。

該模組不依賴簽名和模式匹配來防禦，因為簽名和模式匹配容易造成繞過攻擊或者阻止正常流量。通過上下文分析判斷異常或惡意行為，所以其防禦模式可以防護0-day攻擊而不觸發誤報。

2.2 Sqreen In-App WAF

Sqreen的In-App WAF防護模組利用前述獲得的應用程式的完整上下文，結合傳統WAF的策略，最終形成了貼近業務的雲原生WAF，擁有WAF功能的同時，誤報較低，且不需要頻繁的調整策略。與傳統WAF相比，In-App WAF部署簡單（見上），無需重定向流量，上下文豐富，節約了安全運維時間，並保證防護的安全性。

Sqreen的微代理試用智慧堆疊檢測機制來學習堆疊資訊，並不斷的根據變化的Web應用程式調整防護策略，無需事先配置。這種便捷的自定義WAF規則機制使得小型企業避免應用程式遭受高階業務邏輯威脅。

3 產品特點

1.       Sqreen的產品採用微代理的結構，企業使用者部署快速便捷

使用者只需要安裝Sqreen的微代理，在伺服器上安裝外掛即可。完成安裝後即可幫助使用者對應用程式進行執行時安全監控，報告可疑使用者活動並在活動時阻止攻擊，無需程式碼修改或者進行流量重定向。這種低成本並且快捷可靠的方式吸引了很多小型網路公司成為其客戶。

2.       Sqreen的產品能夠自動化防禦攻擊，產品採用各個安全模組進行防護，包括RASP以及In-App WAF等。

這些模組不需要複雜配置即可適應於客戶的應用程式。可以防禦OWASP Top10攻擊（例如注入攻擊，XSS攻擊等），0-day攻擊，資料洩漏等攻擊。可以建立應對高階業務邏輯威脅的安全自動化處置策略。

3.       Sqreen的產品具備可擴充套件的協作安全特點。

Sqreen為工程師和安全團隊提供了一箇中心平臺，將安全性分散到所有的應用程式和微服務中。安全流程圖能夠幫助使用者瞭解當前風險並確定修復補救工作的優先順序。不需要修改以及部署程式碼就可以輕鬆的啟動新的模組進行安全防護。

總結

WAF和RASP已經是當前Web安全防護的重要產品，特別是WAF，已成為大部分企業部署Web安全機制時都會用到的安全防護產品。但是由於傳統WAF以及RASP在防護部署過程中往往面臨部署困難、防護策略調整複雜問題佔用了企業客戶的時間成本。

Sqreen提供了微代理的部署方式，這種方式部署快捷，可擴充套件性強。而且不用重定向流量，因此保護過程不會引入網路延遲。在Sqreen的防護模組的安全監控下，檢查HTTP請求是否存在惡意行為並檢查應用程式的執行流程，對關鍵檔案、網路訪問、命令執行、SQL查詢等進行分析，確保不會觸發漏洞。同時對使用者身份進行監控，發現可疑使用者上報。一旦識別出攻擊就採取阻斷，並在事後調查階段為開發人員和安全人員提供堆疊跟蹤資訊，以便後續修復安全問題。

Sqreen的應用程式安全防護微代理具備快速部署的優勢，並且其技術壁壘高、商業化落地性比較好，有很強的應用前景。

在當前敏捷開發、微服務、服務網格、雲原生的大背景下，應用的複雜度也是大大增加，應用安全的重要性日益增加，如何做好應用安全也是非常大的挑戰。雖然前景光明，但Sqreen同樣存在挑戰。筆者認為有如下幾點：

1)    雖然Sqreen始終在強調部署方便，但即便是微代理，也還是一種代理（Agent），在終端上部署安全機制會是很多客戶存在顧慮的地方。例如代理是否會佔用業務伺服器的各種資源，雖然沒有流量牽引的延遲，但本地分析各種上下文是否也會帶來額外的開銷；此外，安全應用和業務應用部署在同一個地方，會不會對業務團隊的日常運營帶來困擾？

現在雲原生安全中比較火的istio專案，就是使用了sidecar envoy的方式，在業務側旁掛一個安全代理，所有的安全處理對業務是無感知的，這是真正的雲原生。Sqreen自己宣稱的“雲原生WAF”，除了可以擴充套件的特點外，其他還需要經過真正的考驗。

2)    Sqreen雖然在提In-App WAF，但其形態中就是主機WAF（HWAF），跟主流的網路側WAF不是一個技術路線，是否能夠真正挑戰成熟的WAF市場還存疑。目前WAF的購買者通常認為Web安全是安全方案，而將應用安全歸為開發團隊負責的解決方案。雖然這種局面隨著敏捷開發和DevSecOps的不斷推進會有改善，但尚待時日。

總而言之，綠盟君認為Sqreen不僅在本次RSA創新沙盒的競爭中非常具備競爭力，而且對Sqreen未來的發展前景看好。