RSA 创新沙盒盘点 | Sqreen——WAF和RASP综合解决方案
2020-02-17
2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。前不久,RSAC官方宣布了最终入选今年的创新沙盒十强初创公司:AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan。
海博网论坛君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的是厂商是:Sqreen。
Sqreen公司是一家来自美国的网络安全初创公司,总部在美国湾区,公司创立于2015年,目前完成三轮融资,最近是A轮融资,累积金额1800万美元。其创始团队中CEO为Pierre Betouin,CTO为Jean-Baptiste Aviat,都来自前Apple的攻防团队。Sqreen聚焦于面向企业用户的应用程序安全防护解决方案,目的是在应用开发以及安全运营的场景下对应用程序进行实时监控并进行自主防护。目前Sqreen的产品被700多家客户所采用,并在2019年被Gartner评选为安全和风险管理方面的Cool Vendor,2020年入选RSA大会创新沙盒决赛。
1.背景介绍
攻击应用程序一直是网络攻击的一种常见入侵行为,随着移动互联网的发展,如今越来越多的应用架构迁移到客户端,对应用程序进行保护是很多企业和个人都要面对的重要问题。Gartner预测到2022年,超过50%的针对点击劫持和移动应用的攻击都可以利用In-App解决方案进行防御。内置应用程序(In-App)保护是对客户端应用程序使用自我保护技术,包括RASP等技术,这种技术跟传统WAF最大的区别在于其部署在服务器端点上,而非网络侧,所以有更好的可视度(Visibility)和上下文细节。 Sqreen为企业提供应用程序安全服务,通过一个微代理(microagent),以模块化的方式提供In-App WAF、RASP、虚拟补丁等安全防护能力,并可进行自动化监控,并通过安全管理平台可管理的应用程序安全。
2.产品介绍
Sqreen产品平台主要包括应用程序运行时自我保护(RASP)以及In-App Web应用防护系统(In-App WAF)。
2.1 Sqreen RASP
Sqreen的RASP防护模块可防护OWASP Top 10漏洞(例如SQL注入,XSS攻击,代码注入等),从而降低数据泄漏带来的风险。该RASP架构可以在传统的HTTP层防护外,有更深入的可视度和防护能力。启用RASP很简单,以代码为nodejs语言的服务为例,可以运行以下命令安装对应的sqreen微代理:
npm install sqreen
然后在代码开始处加载以下代码,并重启服务即可:
require("sqreen")
由于RASP是跟服务代码紧贴的,所以可以观察到程序运行的所有上下文,如请求响应、变量和堆栈等信息,进而通过利用请求的完整执行上下文信息来识别在运行时实际利用漏洞的攻击,在阻止关键攻击同时并不产生误报。
该模块不依赖签名和模式匹配来防御,因为签名和模式匹配容易造成绕过攻击或者阻止正常流量。通过上下文分析判断异常或恶意行为,所以其防御模式可以防护0-day攻击而不触发误报。
2.2 Sqreen In-App WAF
Sqreen的In-App WAF防护模块利用前述获得的应用程序的完整上下文,结合传统WAF的策略,最终形成了贴近业务的云原生WAF,拥有WAF功能的同时,误报较低,且不需要频繁的调整策略。与传统WAF相比,In-App WAF部署简单(见上),无需重定向流量,上下文丰富,节约了安全运维时间,并保证防护的安全性。
Sqreen的微代理试用智能堆栈检测机制来学习堆栈信息,并不断的根据变化的Web应用程序调整防护策略,无需事先配置。这种便捷的自定义WAF规则机制使得小型企业避免应用程序遭受高级业务逻辑威胁。
3 产品特点
- Sqreen的产品采用微代理的结构,企业用户部署快速便捷
用户只需要安装Sqreen的微代理,在服务器上安装插件即可。完成安装后即可帮助用户对应用程序进行运行时安全监控,报告可疑用户活动并在活动时阻止攻击,无需代码修改或者进行流量重定向。这种低成本并且快捷可靠的方式吸引了很多小型网络公司成为其客户。
- Sqreen的产品能够自动化防御攻击,产品采用各个安全模块进行防护,包括RASP以及In-App WAF等。
这些模块不需要复杂配置即可适应于客户的应用程序。可以防御OWASP Top10攻击(例如注入攻击,XSS攻击等),0-day攻击,数据泄漏等攻击。可以创建应对高级业务逻辑威胁的安全自动化处置策略。
- Sqreen的产品具备可扩展的协作安全特点。
Sqreen为工程师和安全团队提供了一个中心平台,将安全性分散到所有的应用程序和微服务中。安全流程图能够帮助用户了解当前风险并确定修复补救工作的优先级。不需要修改以及部署代码就可以轻松的启动新的模块进行安全防护。
总结
WAF和RASP已经是当前Web安全防护的重要产品,特别是WAF,已成为大部分企业部署Web安全机制时都会用到的安全防护产品。但是由于传统WAF以及RASP在防护部署过程中往往面临部署困难、防护策略调整复杂问题占用了企业客户的时间成本。
Sqreen提供了微代理的部署方式,这种方式部署快捷,可扩展性强。而且不用重定向流量,因此保护过程不会引入网络延迟。在Sqreen的防护模块的安全监控下,检查HTTP请求是否存在恶意行为并检查应用程序的执行流程,对关键文件、网络访问、命令执行、SQL查询等进行分析,确保不会触发漏洞。同时对用户身份进行监控,发现可疑用户上报。一旦识别出攻击就采取阻断,并在事后调查阶段为开发人员和安全人员提供堆栈跟踪信息,以便后续修复安全问题。
Sqreen的应用程序安全防护微代理具备快速部署的优势,并且其技术壁垒高、商业化落地性比较好,有很强的应用前景。
在当前敏捷开发、微服务、服务网格、云原生的大背景下,应用的复杂度也是大大增加,应用安全的重要性日益增加,如何做好应用安全也是非常大的挑战。虽然前景光明,但Sqreen同样存在挑战。笔者认为有如下几点:
- 虽然Sqreen始终在强调部署方便,但即便是微代理,也还是一种代理(Agent),在终端上部署安全机制会是很多客户存在顾虑的地方。例如代理是否会占用业务服务器的各种资源,虽然没有流量牵引的延迟,但本地分析各种上下文是否也会带来额外的开销;此外,安全应用和业务应用部署在同一个地方,会不会对业务团队的日常运营带来困扰?
现在云原生安全中比较火的istio项目,就是使用了sidecar envoy的方式,在业务侧旁挂一个安全代理,所有的安全处理对业务是无感知的,这是真正的云原生。Sqreen自己宣称的“云原生WAF”,除了可以扩展的特点外,其他还需要经过真正的考验。
- Sqreen虽然在提In-App WAF,但其形态中就是主机WAF(HWAF),跟主流的网络侧WAF不是一个技术路线,是否能够真正挑战成熟的WAF市场还存疑。目前WAF的购买者通常认为Web安全是安全方案,而将应用安全归为开发团队负责的解决方案。虽然这种局面随着敏捷开发和DevSecOps的不断推进会有改善,但尚待时日。
总而言之,海博网论坛君认为Sqreen不仅在本次RSA创新沙盒的竞争中非常具备竞争力,而且对Sqreen未来的发展前景看好。