2020年2月24-28日,网络安全行业盛会RSAConference将在旧金山拉开帷幕。不久前,RSAC正式公布了入选今年创新沙盒的十大初创公司:AppOmni、BluBracket、ElevateSecurity、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、TalaSecurity、Vulcan。绿盟科技将从背景介绍、产品特点、评论分析等方面为您介绍入围的十大厂商。今天,我们要介绍的厂商是:Sqreen。Sqreen是一家来自美国的网络安全初创公司,总部位于美国湾区。公司成立于2015年,已完成三轮融资。最新的是A轮融资,累计金额1800万美元。其创始团队的CEO是PierreBetouin,CTO是Jean-BaptisteAviat,均来自前苹果攻防团队。Sqreen专注于为企业用户提供应用安全防护解决方案,旨在在应用开发和安全运营的背景下对应用进行实时监控和自我保护。目前,Sqreen的产品被超过700家客户采用,并于2019年被Gartner评选为安全与风险管理领域的CoolVendor,并于2020年入围RSAConferenceInnovationSandbox。一、背景介绍攻击应用程序一直是网络攻击的常见入侵行为。随着移动互联网的发展,现在越来越多的应用架构向客户端迁移。保护应用程序是许多公司和个人的必需品。面临的重要问题。Gartner预测,到2022年,超过50%的针对点击劫持和移动应用程序的攻击可以通过应用程序内解决方案进行防御。内置应用程序(In-App)保护是利用客户端应用程序的自我保护技术,包括RASP等技术。该技术与传统WAF最大的区别在于它部署在服务器端点而不是网络端,因此有更好的可见性和上下文细节。Sqreen为企业提供应用安全服务。通过微代理,模块化提供In-AppWAF、RASP、虚拟补丁等安全防护能力,并可通过安全管理平台进行自动化监控和管理。应用安全。2、产品介绍Sqreen产品平台主要包括应用运行时自我保护(RASP)和In-AppWeb应用保护系统(In-AppWAF)。(1)SqreenRASPSqreen的RASP防护模块可以防护OWASPTop10漏洞(如SQL注入、XSS攻击、代码注入等),从而降低数据泄露的风险。RASP架构除了传统的HTTP层保护之外,还可以具有更深层次的可见性和保护能力。启用RASP非常简单。以一个代码为nodejs语言的服务为例,可以运行如下命令安装对应的sqreen微代理:npminstallsqreen然后在代码开头加载如下代码并重启服务:require("sqreen")由于RASP与服务代码紧密相连,因此可以观察到程序运行的所有上下文,如请求响应、变量、堆栈等信息,进而利用请求的完整执行上下文信息进行识别在运行时实际利用漏洞的攻击。关键攻击也不会产生误报。本模块不依赖签名和模式匹配进行防御,因为签名和模式匹配容易造成旁路攻击或阻断正常流量。通过上下文分析判断异常或恶意行为,因此其防御模式可以在不触发误报的情况下防御0-day攻击。(2)SqreenIn-AppWAFSqreen的In-AppWAF防护模块,利用上面得到的应用的完整上下文,结合传统的WAF策略,最终形成贴近业务的云原生WAF。低,不需要频繁的政策调整。与传统WAF相比,In-AppWAF易于部署(见上文),无需重定向流量,上下文丰富,节省安全运维时间,保障防护的安全性。Sqreen的微代理利用智能堆栈检测机制学习堆栈信息,根据不断变化的Web应用不断调整保护策略,无需事先配置。这种方便的自定义WAF规则机制使小型企业能够保护应用程序免受高级业务逻辑威胁。3.产品特点(1)Sqreen产品采用微代理结构,企业用户部署快捷方便。用户只需要在服务器上安装Sqreen的微代理和插件即可。安装完成后,它可以帮助用户对应用程序进行运行时安全监控,报告可疑用户活动并在活动时阻止攻击,无需修改代码或流量重定向。这种低成本、快速、可靠的方式吸引了众多小型互联网公司成为其客户。(2)Sqreen的产品可以自动防御攻击,产品受到各种安全模块的保护,包括RASP和In-AppWAF。这些模块无需复杂配置即可适应客户的应用。可防御OWASPTop10攻击(如注入攻击、XSS攻击等)、0-day攻击、数据泄露等攻击。可以为高级业务逻辑威胁创建安全的自动处置策略。(3)Sqreen的产品具有可扩展的协作安全功能。Sqreen为工程师和安全团队提供了一个中央平台,该平台将安全性分散到所有应用程序和微服务中。安全流程图可帮助用户了解当前风险并确定补救工作的优先级。无需修改和部署代码,即可轻松上线新模块进行安全保护。总结WAF和RASP已经是Web安全防护的重要产品,尤其是WAF,已经成为大多数企业在部署Web安全机制时都会使用的安全防护产品。然而,传统WAF和RASP在防护部署过程中往往面临部署困难,防护策略调整复杂,对企业客户来说需要时间和成本。Sqreen提供微代理部署方式,部署速度快,可扩展性强。在不重定向流量的情况下,保护过程不会引入网络延迟。在Sqreen保护模块的安全监控下,检查HTTP请求是否存在恶意行为,检查应用程序的执行过程,对关键文件、网络访问、命令执行、SQL查询等进行分析,确保不存在漏洞触发。同时,监控用户身份,发现并报告可疑用户。一旦识别出攻击就将其阻止,并在事后调查阶段为开发人员和安全人员提供堆栈跟踪信息,以便后续修复安全问题。Sqreen的应用安全保护微代理具有快速部署的优势,技术壁垒高,商业落地性好,应用前景广阔。在当前敏捷开发、微服务、服务网格、云原生的大背景下,应用的复杂度也大大增加,应用安全的重要性与日俱增。如何做好应用安全也是一个非常大的挑战。虽然前景一片光明,但Sqreen也面临着挑战。笔者认为有以下几点:(1)虽然Sqreen一直强调部署的便利性,但即使是微代理,也仍然是代理(Agent)的一种。在终端上部署安全机制将是许多客户关心的问题。比如代理是否会占用业务服务器的各种资源。虽然在流量牵引上没有延迟,但是否对各种上下文进行本地分析也会带来额外的开销;另外,如果安全应用和业务应用部署在同一个地方,是否可以?困扰业务团队的日常运作?云原生安全方面比较流行的istio项目,就是采用sidecarenvoy的方式,在业务端挂了一个安全代理。所有安全处理对业务不敏感。它是真正的云原生。Sqreen所宣称的“云原生WAF”,除了具备可扩展性的特性外,其他都需要通过真实的考验。(2)Sqreen虽然??说的是In-AppWAF,但它的形式是宿主WAF(HWAF),并不是主流网络侧WAF的技术路线。能否真正挑战成熟的WAF市场,还值得怀疑。目前WAF买家通常认为Web安全是一个安全解决方案,应用安全是开发团队负责的解决方案。虽然这种情况会随着敏捷开发和DevSecOps的不断推进而得到改善,但这需要时间。总而言之,绿盟科技认为,Sqreen不仅在本次RSA创新沙盒大赛中极具竞争力,而且Sqreen未来的发展前景广阔。
