RSA Conference 2023將於舊金山時間4月24日正式啟幕。作為全球網路安全行業創新風向標，一直以來，大會的Innovation Sandbox（創新沙盒）大賽不斷為網路安全領域的初創企業提供著創新技術思維的展示平臺。

近日，RSA Conference正式公佈RSAC 2023創新沙盒競賽的10名決賽入圍者，分別為AnChain.AI、Astrix、DAZZ、Endor Labs、Hidden Layer、Pangea、RELYANCE AI、SafeBase、Valence、Zama。

4月24日（美國舊金山時間），創新沙盒將決出本年度冠軍，綠盟君在此立足背景介紹、產品特點、核心能力等，帶大家走進入圍十強廠商，洞悉創新發展趨勢。今天，我們要介紹的廠商是：Pangea。

公司介紹

Pangea成立於2021年，是一家總部位於美國加利福尼亞州的創新型企業，專注於為開發人員提供安全、合規和可靠的雲服務。該公司的核心產品包括Vault、Redact、Embargo和Secure Audit Log服務，這些服務均旨在幫助開發人員管理和保護敏感資訊，並確保其應用程式在安全和合規方面達到最高標準[2]。

目前Pangea公司規模為10-50人，由Oliver Friedrichs和Sourabh Satish成立，Oliver Friedrichs是安全圈的創業達人，曾建立4家成功的安全公司[3]：Phantom，Immunet，SecurityFocus（Bugtraq）和Secure Network。其中，Phantom提出SOAR平臺，曾於2016年躋身RSA創新沙盒十強名單，後在2018年被Splunk收購；Immunet在2013年被Sourcefire收購；SecurityFocus推出了世界上首個網際網路預警系統 DeepSight，後被賽門鐵克於2002年收購；Secure Networks提出了業界首個漏洞管理解決方案Ballista，後被McAfee收購。Sourabh Satish是Oliver的長期合作伙伴，曾合作建立Phantom，被Splunk收購後擔任Splunk副總裁，曾就職賽門鐵克、Axent等知名安全公司，安全從業經驗豐富，致力於使用機器學習和大資料分析技術解決安全問題。

圖1  Pangea公司創始人

（左為Oliver Friedrichs，右為Sourabh Satish）

2022年5月17日，Pangea透過A輪融資籌集了由Ballistic Ventures為主要投資人的5個投資者共計2500萬美元融資，同年11月30日，經過B輪融資籌集了由Google Ventures為主要投資人的6個投資者共計2600萬美元融資，兩輪風投，Pangea已經籌集了5100萬美元[1]。

背景介紹

2.1 DevSecOps

DevSecOps最早由Gartner諮詢公司研究員David Cearley在2012年首次提出。核心理念為：“安全是整個IT團隊（包括開發、測試、運維及安全團隊）所有成員的責任，需要貫穿整個業務生命週期的每一個環節”[4]。DevSecOps代表了開發組織在處理安全方面的自然和必要的演變。在過去，安全是在開發週期的最後階段由單獨的安全團隊新增到軟體中，並由單獨的質量保證（QA）團隊進行測試，而DevSecOps將應用程式和基礎設施安全無縫整合到DevOps流程和工具中，在安全問題出現前解決問題。

2.2 安全左移

“安全左移”是DevSecOps方法中的一個核心概念，也是DevSecOps的重要關注點，它意味著在軟體開發的整個生命週期中，從最早的設計和規劃階段就將安全性作為優先考慮因素，確保應用程式和基礎設施的安全性與質量。這與傳統軟體開發方法中的“安全右移”相反，即在開發過程的後期再考慮和解決安全問題，可能會導致更大的風險和成本。現代 CI/CD 流程通常包括八個步驟，如圖2所示。安全防護左移不僅有利於降低網路風險，還可以降低成本。IBM 的系統科學研究所發現，在設計過程中解決安全問題，比在實施過程中解決的成本要低六倍。同一項研究還發現，在測試過程中解決安全問題的成本甚至要高出 15 倍[5]。

圖 2 CI/CD(持續整合和持續部署)

2.3 Pangea的創新性分析

如圖3所示，要實施 DevSecOps，一般會在CI/CD 流程中整合各種應用安全測試 (AST) 工具，如：靜態程式碼分析，軟體元件分析，動態測試分析測試[6]等，但是這些流程都是在程式碼開發完成之後的行為，與這些傳統的方式不同，Pangea公司重點關注CI/CD流程的第二個階段--編碼階段，開發人員在編碼過程中就可以使用Pangea的API，將安全能力直接整合到程式碼當中，達到安全左移的目的。可以看到，這種方式相較於傳統DevSecOps方法，將安全能力進一步提前到編碼環節，進一步降低了安全隱患。

圖3 DevSecOps實踐方案[6]

產品介紹

Pangea提出SPaaS（安全平臺即服務）框架，該框架的思想起源於AWS的PaaS（平臺即服務）[7]，AWS將大量的微服務（如計算服務、儲存服務、分析服務等）API化，開發人員在程式碼中可以直接呼叫API來使用對應的服務以此來提升研發效率，AWS則透過API的呼叫次數來實現精準計費。類似的，透過SPaaS框架，開發人員在編碼過程中可以透過API的形式呼叫Pangea的安全平臺為應用程式新增安全功能。 

從官網看到，目前Pangea已完成如下8種安全能力的API化，合規性上包括3項能力：Secure Audit Log（審計日誌保護）、Redact（資料脫敏）、Embargo（出口限制檢查），資料保護上包括1項能力：Vault（敏感資料儲存），威脅情報上包括4項能力：檔案檢查、IP檢查、域名檢查和URL檢查。其中前4項能力為核心能力。並且可以看到Pangea已經在規劃和開發更多安全能力的API功能，能力會日趨完備。我們對已API化的安全能力做簡單介紹。

圖4 Pangea現存和規劃中的API能力

3.1 審計日誌保護能力的API化

Pangea的Secure Audit Log服務實現了審計日誌保護能力的API化。審計日誌用於記錄應用程式內發生的活動，審計日誌事件的重點在於回答“誰在何時做了什麼”的問題。審計日誌資料通常很大，需要長時間的資料保留期，並需要重要的基礎設施來儲存和檢索事件。通常，審計日誌有以下用途：

解決程式問題

在這種情況下，應用程式中進行了配置更改，導致其表現不佳。審計日誌可以幫助管理團隊查詢問題的開始發生時間，找到問題的根因。通常，這些日誌不需要長期保留要求。

解決資料丟失問題

在重要客戶資料丟失的情況下，審計日誌資料可用於快速尋找資料何時被刪除、由誰刪除的相關線索。這些日誌需要更長的保留期和更先進的搜尋能力。

解決合規性問題

在大多數情況下，合規性通常是推動應用程式開發人員構建審計日誌記錄能力的原因。合規性框架要求記錄和儲存應用程式中的特定活動，時間跨度非常長（1-10年以上）。構建這種滿足長期資料保留要求的審計日誌記錄框架挑戰性較大。 

Secure Audit Log服務構建完整的日誌基礎架構，並用簡單的API來記錄和搜尋事件，可滿足如下日誌儲存需求：

1）防篡改。

2）可配置的保留期。可以自定義配置保留日誌的時間。 

3）日誌脫敏。防止在日誌中意外洩露敏感資訊。Secure Audit Log直接整合到資料脫敏Redact服務中進行資料脫敏。

4）高效的搜尋能力。

5） SDK。Pangea的SDK使用多種語言編寫，可以快速將Secure Audit Log整合到應用程式中。使用樣例如下：

圖5 Pangea日誌儲存API樣例

可以看到，Secure Audit Log基本滿足了企業對於儲存審計日誌安全性上的所有需求，並且開發了大量的SDK介面，做到主流程式語言的快速整合。

3.2 資料脫敏能力的API化

隨著資料安全重要性的提升，大量的法律法規對企業的資料安全治理提出要求。資料脫敏是企業保護隱私資料，同時又保持監管合規，滿足合規性的必然選擇。在這種背景下，Pangea的Redact服務完成了資料脫敏能力的API化。

Redact服務使用定義好的規則識別個人敏感資料，規則分為兩種型別：基於NLP的規則與基於正則的規則。基於NLP的規則透過後臺的NLP模型識別敏感資料，由於機制問題，使用人員無法看到NLP規則的細節，而基於正則的規則可以被使用者檢視。由於規則存在一定誤報，Redact服務對每條匹配的記錄進行置信度打分，使用者可以自定義設定閾值過濾低置信度的匹配結果，更進一步，使用者可以自定義配置規則，完善敏感資料的識別能力。

目前Redact已經整合了24條規則用於識別敏感資料，可識別的敏感資料範圍主要包括個人身份資訊（PII）、支付卡行業（PCI）資料和其他少量敏感資訊。並且該服務可以與其他具有資料儲存需求的服務（例如Secure Audit Log）進行本地整合的功能。

3.3 出口限制檢測能力的API化

對於產品出售，不同國家的法律法規也會做出要求，如出臺處罰或禁運令，阻止產品交付到某些國家，因此需要對出口限制做檢查。為了應對該需求，Pangea 的Embargo服務透過收集所有已知禁運國家名單和禁運商品名單，透過檢查目的IP和商品的方式確定是否應提供服務或商品。

Embargo服務會自動獲取官方政府的禁運目錄並且動態更新，做到檢測能力的實時性，使用者可以進一步檢視所有的禁運令明細進行校驗，並且可以自定義配置禁運資訊。

3.4 金鑰和憑據管理能力的API化

金鑰和憑據作為計算機系統的重要機密資訊，需要被妥善管理，Pangea的Vault服務做到了將金鑰和憑據管理能力的API化。Vault服務將金鑰和機密管理合併為一個服務，每一個Vault條目都是金鑰、憑據和Pangea API token的一項，每種型別的條目共享某些相同的屬性並且具有某些特定屬性，透過該方式Vault服務完成了不同型別機密資訊的統一管理。

Vault對於每個條目設定了5個狀態：活躍、非活躍、掛起、洩露、銷燬，不同轉態之前存在不同的轉移機制。對於金鑰而言，Vault可以生成、匯入和管理金鑰生命週期，同時可以在不暴露金鑰的前提下使用金鑰進行加密；類似的，Vault服務允許儲存、管理和訪問文字字串形式的機密資訊。

Vault服務滿足了使用者所有可能得對金鑰和憑證的需求，介面使用方便，目前支援4種語言的SDK呼叫。

3.5 威脅情報類能力的API化

威脅情報對於安全重要性不言而喻，在這裡我們將所有的威脅情報類的能力做統一介紹。目前Pangea的威脅情報能力來自於第三方，包含檔案、IP、域名和URL的威脅情報查詢的能力，威脅情報來源較少，詳情如下：

• 檔案：ReversingLabs、CrowdStrike

• IP：CrowdStrike、Digital Element

• 域名：CrowdStrike 、DomainTools

• URL：CrowdStrike

除了簡單的判斷對應實體的威脅性，Pangea的威脅情報API還可以用於：IP的地理位置查詢、IP的反向域名查詢、判斷IP是否是代理、判斷IP是否是VPN、域名的分類查詢等。

總結

Pangea首次提出SPaaS（安全平臺即服務）的概念並實現了產品化，目前已經實現了多種安全能力的API，使得安全能力可以直接在編碼階段整合，從案例中可以看到，每個API的功能已經較為完善。在當今“安全左移”的大背景下，Pangea安全能力的API化作為優秀實踐已經受到巨大歡迎，從大量的融資金額可以看出，該項能力具有極大的市場空間。其實將安全能力API化並在程式碼編寫過程中整合的需求很強烈，因此筆者認為，Pangea的實踐重點在於時效性，將安全需求API化的快速性、完整性、高覆蓋性才是Pangea成功的關鍵。

參考文獻

[1] https://www.crunchbase.com/organization/pengea

[2] https://pangea.cloud/news-events/press-releases/rsa-innovation-sandbox/

[3] https://engineering.nyu.edu/oliver-friedrichs

[4] https://www.freebuf.com/articles/243414.html

[5] https://www.paloaltonetworks.com/blog/2019/08/4-practical-steps-shift-left-security/?lang=zh-hans

[6] https://www.anquanke.com/post/id/240752

[7] https://pangea.cloud/docs/blog/introducing-security-platform-as-a-service