2020年2月24日-28日，網絡安全行業盛會RSA Conference將在舊金山拉開帷幕。前不久，RSAC官方宣布了最終入選今年的創新沙盒十強初創公司：AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。

綠盟君將通過背景介紹、產品特點、點評分析等，帶大家了解入圍的十強廠商。今天，我們要介紹的是廠商是：Sqreen。

Sqreen公司是一家來自美國的網絡安全初創公司，總部在美國灣區，公司創立于2015年，目前完成三輪融資，最近是A輪融資，累積金額1800萬美元。其創始團隊中CEO為Pierre Betouin，CTO為Jean-Baptiste Aviat，都來自前Apple的攻防團隊。Sqreen聚焦于面向企業用戶的應用程序安全防護解決方案，目的是在應用開發以及安全運營的場景下對應用程序進行實時監控并進行自主防護。目前Sqreen的產品被700多家客戶所采用，并在2019年被Gartner評選為安全和風險管理方面的Cool Vendor，2020年入選RSA大會創新沙盒決賽。

1. 背景介紹

攻擊應用程序一直是網絡攻擊的一種常見入侵行為，隨著移動互聯網的發展，如今越來越多的應用架構遷移到客戶端，對應用程序進行保護是很多企業和個人都要面對的重要問題。Gartner預測到2022年，超過50%的針對點擊劫持和移動應用的攻擊都可以利用In-App解決方案進行防御。內置應用程序(In-App)保護是對客戶端應用程序使用自我保護技術，包括RASP等技術，這種技術跟傳統WAF最大的區別在于其部署在服務器端點上，而非網絡側，所以有更好的可視度(Visibility)和上下文細節。 Sqreen為企業提供應用程序安全服務，通過一個微代理(microagent)，以模塊化的方式提供In-App WAF、RASP、虛擬補丁等安全防護能力，并可進行自動化監控，并通過安全管理平臺可管理的應用程序安全。

2. 產品介紹

Sqreen產品平臺主要包括應用程序運行時自我保護(RASP)以及In-App Web應用防護系統(In-App WAF)。

(1) Sqreen RASP

Sqreen的RASP防護模塊可防護OWASP Top 10漏洞(例如SQL注入，XSS攻擊，代碼注入等)，從而降低數據泄漏帶來的風險。該RASP架構可以在傳統的HTTP層防護外，有更深入的可視度和防護能力。啟用RASP很簡單，以代碼為nodejs語言的服務為例，可以運行以下命令安裝對應的sqreen微代理：

npm install sqreen 

然后在代碼開始處加載以下代碼，并重啟服務即可：

require("sqreen") 

由于RASP是跟服務代碼緊貼的，所以可以觀察到程序運行的所有上下文，如請求響應、變量和堆棧等信息，進而通過利用請求的完整執行上下文信息來識別在運行時實際利用漏洞的攻擊，在阻止關鍵攻擊同時并不產生誤報。

該模塊不依賴簽名和模式匹配來防御，因為簽名和模式匹配容易造成繞過攻擊或者阻止正常流量。通過上下文分析判斷異常或惡意行為，所以其防御模式可以防護0-day攻擊而不觸發誤報。

(2) Sqreen In-App WAF

Sqreen的In-App WAF防護模塊利用前述獲得的應用程序的完整上下文，結合傳統WAF的策略，最終形成了貼近業務的云原生WAF，擁有WAF功能的同時，誤報較低，且不需要頻繁的調整策略。與傳統WAF相比，In-App WAF部署簡單(見上)，無需重定向流量，上下文豐富，節約了安全運維時間，并保證防護的安全性。

Sqreen的微代理試用智能堆棧檢測機制來學習堆棧信息，并不斷的根據變化的Web應用程序調整防護策略，無需事先配置。這種便捷的自定義WAF規則機制使得小型企業避免應用程序遭受高級業務邏輯威脅。

3. 產品特點

(1) Sqreen的產品采用微代理的結構，企業用戶部署快速便捷

用戶只需要安裝Sqreen的微代理，在服務器上安裝插件即可。完成安裝后即可幫助用戶對應用程序進行運行時安全監控，報告可疑用戶活動并在活動時阻止攻擊，無需代碼修改或者進行流量重定向。這種低成本并且快捷可靠的方式吸引了很多小型網絡公司成為其客戶。

(2) Sqreen的產品能夠自動化防御攻擊，產品采用各個安全模塊進行防護，包括RASP以及In-App WAF等。

這些模塊不需要復雜配置即可適應于客戶的應用程序。可以防御OWASP Top10攻擊(例如注入攻擊，XSS攻擊等)，0-day攻擊，數據泄漏等攻擊。可以創建應對高級業務邏輯威脅的安全自動化處置策略。

(3) Sqreen的產品具備可擴展的協作安全特點。

Sqreen為工程師和安全團隊提供了一個中心平臺，將安全性分散到所有的應用程序和微服務中。安全流程圖能夠幫助用戶了解當前風險并確定修復補救工作的優先級。不需要修改以及部署代碼就可以輕松的啟動新的模塊進行安全防護。

總結

WAF和RASP已經是當前Web安全防護的重要產品，特別是WAF，已成為大部分企業部署Web安全機制時都會用到的安全防護產品。但是由于傳統WAF以及RASP在防護部署過程中往往面臨部署困難、防護策略調整復雜問題占用了企業客戶的時間成本。

Sqreen提供了微代理的部署方式，這種方式部署快捷，可擴展性強。而且不用重定向流量，因此保護過程不會引入網絡延遲。在Sqreen的防護模塊的安全監控下，檢查HTTP請求是否存在惡意行為并檢查應用程序的執行流程，對關鍵文件、網絡訪問、命令執行、SQL查詢等進行分析，確保不會觸發漏洞。同時對用戶身份進行監控，發現可疑用戶上報。一旦識別出攻擊就采取阻斷，并在事后調查階段為開發人員和安全人員提供堆棧跟蹤信息，以便后續修復安全問題。

Sqreen的應用程序安全防護微代理具備快速部署的優勢，并且其技術壁壘高、商業化落地性比較好，有很強的應用前景。

在當前敏捷開發、微服務、服務網格、云原生的大背景下，應用的復雜度也是大大增加，應用安全的重要性日益增加，如何做好應用安全也是非常大的挑戰。雖然前景光明，但Sqreen同樣存在挑戰。筆者認為有如下幾點：

(1) 雖然Sqreen始終在強調部署方便，但即便是微代理，也還是一種代理(Agent)，在終端上部署安全機制會是很多客戶存在顧慮的地方。例如代理是否會占用業務服務器的各種資源，雖然沒有流量牽引的延遲，但本地分析各種上下文是否也會帶來額外的開銷;此外，安全應用和業務應用部署在同一個地方，會不會對業務團隊的日常運營帶來困擾?

現在云原生安全中比較火的istio項目，就是使用了sidecar envoy的方式，在業務側旁掛一個安全代理，所有的安全處理對業務是無感知的，這是真正的云原生。Sqreen自己宣稱的“云原生WAF”，除了可以擴展的特點外，其他還需要經過真正的考驗。

(2) Sqreen雖然在提In-App WAF，但其形態中就是主機WAF(HWAF)，跟主流的網絡側WAF不是一個技術路線，是否能夠真正挑戰成熟的WAF市場還存疑。目前WAF的購買者通常認為Web安全是安全方案，而將應用安全歸為開發團隊負責的解決方案。雖然這種局面隨著敏捷開發和DevSecOps的不斷推進會有改善，但尚待時日。

總而言之，綠盟君認為Sqreen不僅在本次RSA創新沙盒的競爭中非常具備競爭力，而且對Sqreen未來的發展前景看好。