สวัสดีทุกคนใน GeekNews!
มีบทความหนึ่งที่เราดีใจมากที่ได้เห็นโพสต์อยู่บน GeekNews ซึ่งเป็นที่ที่ทั้งทีมของเราอ่านกันอยู่แล้ว และเป็นประเด็นที่เรากำลังแก้ปัญหาอยู่พอดี
https://th.news.hada.io/topic?id=13442
มีคอมเมนต์ในเธรดบอกว่าอยากให้แนะนำกันบ้าง เราเลยขอแนะนำผลิตภัณฑ์ที่ทีมเราตั้งใจสร้างขึ้นมาอย่างเต็มที่
- แนะนำโปรเจกต์
- เราให้บริการตรวจจับ Secret API Key ที่ใช้สำหรับเชื่อมต่อกับบริการ SaaS หลากหลายประเภท
- แม้จะมีเครื่องมือมากมายอย่าง TruffleHog, GitLeaks เป็นต้น แต่เครื่องมือเหล่านี้มักเน้นไปที่ DevSecOps ทำให้ในมุมของทีมความปลอดภัยจริงหรือทีมดูแลโครงสร้างพื้นฐาน มีต้นทุนด้านวิศวกรรมในการใช้งานค่อนข้างสูง ซึ่งเรากำลังปรับปรุงข้อจำกัดนี้
- รองรับการเชื่อมต่อได้ไม่ใช่แค่ GitHub, GitLab เท่านั้น แต่ปัจจุบันยังขยายไปถึง Confluence, Jira, Notion เป็นต้น
- ช่วยให้สามารถสร้างระบบความปลอดภัยโดยมี Credential (Secret, PII) เป็นศูนย์กลาง และสามารถมองเห็นภัยคุกคามด้านความปลอดภัยของ Credential ภายในองค์กรผ่านฟังก์ชันจัดการภัยคุกคาม
- มีฟังก์ชันเชื่อมต่อกับ IDP หลากหลายรูปแบบ เช่น SAML / OIDC
- แนะนำฟังก์ชัน
- มีฟังก์ชันตรวจจับ Secret โดยสามารถตรวจสอบสถานะของ Secret key ได้ถึงระดับ Active / Inactive เป็นต้น จึงช่วยลด False-Positive ได้
- มีฟังก์ชันตรวจจับ PII โดยมี NLP รวมอยู่ด้วย จึงสามารถเข้าใจบริบทได้ดีกว่า Regex แบบทั่วไป และตรวจจับการเปิดเผยข้อมูลส่วนบุคคลได้แม่นยำยิ่งขึ้น
- มีฟังก์ชัน Threat Policy ตัวอย่างเช่น สามารถกำหนดให้ AWS Active Key ที่อยู่ในสถานะ Active เป็นภัยคุกคามระดับ High เพื่อใช้จัดลำดับความสำคัญได้
- มีฟังก์ชัน Dashboard
- ขอบเขตการเชื่อมต่อแบ่งออกเป็น 2 ประเภทใหญ่ ๆ
**Target - สามารถเพิ่ม Public GitHub เป็นต้น เพื่อทำการมอนิเตอร์ได้
** Integration - สำหรับใช้งานภายใน (Private) สามารถเชื่อมต่อกับ Github, GitLab, Conflucne, Jira, Notion เป็นต้น ได้
- การจัดการสมาชิก
- สิทธิ์ถูกแบ่งเป็น Administrator, Writer และ Reader ทำให้สามารถบริหารองค์กรในระดับกว้างตามแต่ละองค์กรได้
- สามารถเชื่อมต่อกับ IDP ที่องค์กรใช้งานอยู่ผ่าน SAML / OIDC ได้
- ลิงก์อ้างอิง
- Support Center - https://support.cremit.io - สามารถรับความช่วยเหลือผ่านระบบตั๋วและเอกสารได้
- Status Page - https://status.cremit.io - สามารถตรวจสอบสถานะของบริการได้
- Security Center - https://security.cremit.io - สามารถตรวจสอบระดับความปลอดภัยที่ Cremit ยึดถือได้
- โรดแมป - https://releases.cremit.io
- การขยายขอบเขตการเชื่อมต่ออย่างต่อเนื่อง - ปัจจุบันยังคงมีเหตุการณ์ข้อมูลรั่วไหลและการจัดการข้อมูลส่วนบุคคลอย่างไม่เป็นระบบใน AWS S3, GCS, Azure Storage เป็นต้น ดังนั้นทีม Cremit จึงได้เพิ่มส่วนนี้ไว้ในโรดแมปการขยายขอบเขตแล้ว
- การขยายฟังก์ชันการจัดการอย่างต่อเนื่อง
- มีแผนจะขยายฟังก์ชันการจัดการอย่างต่อเนื่อง เพื่อให้สามารถทำ Incident management ร่วมกับฟังก์ชัน Threat ได้
- การขยายขอบเขตการตรวจจับ Secret อย่างต่อเนื่อง - เครื่องมือ SaaS ยังมีการอัปเดตและเชื่อมต่อใหม่ ๆ กันทุกสัปดาห์เป็นจำนวนหลายสิบรายการ ดังนั้นทีม Cremit จึงอัปเดต Secret Pattern / Validation Pattern อย่างต่อเนื่องผ่านการ F/U
- เพิ่มฟังก์ชันให้ผู้ใช้จัดการข้อมูล PII ได้เอง - ปัจจุบันรูปแบบ PII ที่ Cremit จัดการแบบ managed อยู่ ผู้ใช้จะสามารถเพิ่มแพตเทิร์นได้ด้วยตนเอง
- เพิ่มฟังก์ชันตรวจสอบข้อมูล Authentication ที่ผู้ใช้จัดการด้วยตนเอง
- มีแผนจะเพิ่มฟังก์ชันที่สามารถเชื่อมโยง Secret เข้ากับข้อมูลล็อกอินของระบบ Admin ภายใน ระบบ back office เป็นต้น
- ข้อมูลเพิ่มเติมอื่น ๆ
- Cremit เป็นบริษัทระยะเริ่มต้นมาก ก่อตั้งขึ้นในเดือนพฤษภาคม ปี 2023 และโชคดีที่ได้รับเงินลงทุน seed รอบแรกจาก Primer ในเดือนสิงหาคมของปีที่ก่อตั้ง
- หากต้องการนัดคุยกับทีมของเรา สามารถขอนัดผ่านหน้าเว็บไซต์ได้ทุกเมื่อ!
- ตอนนี้มีช่วงทดลองใช้ฟรีและมี Free Plan ให้ใช้งานด้วย โปรดทราบว่าบางฟังก์ชันจะมีข้อจำกัดอยู่บ้าง!
URL สมัครใช้บริการ - https://register.cremit.io
2 ความคิดเห็น
เครื่องมือตรวจจับแบบนี้ส่วนใหญ่มักจำกัดอยู่แค่รีโพซิทอรีหรือโค้ด แต่นี่ตรวจจับได้ถึงเครื่องมืออย่าง Notion หรือ Jira ด้วย เลยดีมากครับ
ใช่ครับ/ค่ะ! เครื่องมือเดิม ๆ มักจะมุ่งเน้นไปที่ DevSecOps เป็นหลัก
เป้าหมายของเราคือการตรวจหาทุกจุดที่ Credential อาจรั่วไหลได้ ไม่ว่าจะเป็นเครื่องมือสำหรับการทำงานร่วมกัน ไดรฟ์ หรือรีโพซิทอรี!
ขอบคุณที่ให้ความสนใจครับ/ค่ะ!