3 คะแนน โดย cremit 2024-03-09 | 2 ความคิดเห็น | แชร์ทาง WhatsApp

สวัสดีทุกคนใน GeekNews!

มีบทความหนึ่งที่เราดีใจมากที่ได้เห็นโพสต์อยู่บน GeekNews ซึ่งเป็นที่ที่ทั้งทีมของเราอ่านกันอยู่แล้ว และเป็นประเด็นที่เรากำลังแก้ปัญหาอยู่พอดี
https://th.news.hada.io/topic?id=13442
มีคอมเมนต์ในเธรดบอกว่าอยากให้แนะนำกันบ้าง เราเลยขอแนะนำผลิตภัณฑ์ที่ทีมเราตั้งใจสร้างขึ้นมาอย่างเต็มที่

  1. แนะนำโปรเจกต์
  • เราให้บริการตรวจจับ Secret API Key ที่ใช้สำหรับเชื่อมต่อกับบริการ SaaS หลากหลายประเภท
  • แม้จะมีเครื่องมือมากมายอย่าง TruffleHog, GitLeaks เป็นต้น แต่เครื่องมือเหล่านี้มักเน้นไปที่ DevSecOps ทำให้ในมุมของทีมความปลอดภัยจริงหรือทีมดูแลโครงสร้างพื้นฐาน มีต้นทุนด้านวิศวกรรมในการใช้งานค่อนข้างสูง ซึ่งเรากำลังปรับปรุงข้อจำกัดนี้
  • รองรับการเชื่อมต่อได้ไม่ใช่แค่ GitHub, GitLab เท่านั้น แต่ปัจจุบันยังขยายไปถึง Confluence, Jira, Notion เป็นต้น
  • ช่วยให้สามารถสร้างระบบความปลอดภัยโดยมี Credential (Secret, PII) เป็นศูนย์กลาง และสามารถมองเห็นภัยคุกคามด้านความปลอดภัยของ Credential ภายในองค์กรผ่านฟังก์ชันจัดการภัยคุกคาม
  • มีฟังก์ชันเชื่อมต่อกับ IDP หลากหลายรูปแบบ เช่น SAML / OIDC
  1. แนะนำฟังก์ชัน
  • มีฟังก์ชันตรวจจับ Secret โดยสามารถตรวจสอบสถานะของ Secret key ได้ถึงระดับ Active / Inactive เป็นต้น จึงช่วยลด False-Positive ได้
  • มีฟังก์ชันตรวจจับ PII โดยมี NLP รวมอยู่ด้วย จึงสามารถเข้าใจบริบทได้ดีกว่า Regex แบบทั่วไป และตรวจจับการเปิดเผยข้อมูลส่วนบุคคลได้แม่นยำยิ่งขึ้น
  • มีฟังก์ชัน Threat Policy ตัวอย่างเช่น สามารถกำหนดให้ AWS Active Key ที่อยู่ในสถานะ Active เป็นภัยคุกคามระดับ High เพื่อใช้จัดลำดับความสำคัญได้
  • มีฟังก์ชัน Dashboard
  • ขอบเขตการเชื่อมต่อแบ่งออกเป็น 2 ประเภทใหญ่ ๆ
    **Target - สามารถเพิ่ม Public GitHub เป็นต้น เพื่อทำการมอนิเตอร์ได้
    ** Integration - สำหรับใช้งานภายใน (Private) สามารถเชื่อมต่อกับ Github, GitLab, Conflucne, Jira, Notion เป็นต้น ได้
  1. การจัดการสมาชิก
  • สิทธิ์ถูกแบ่งเป็น Administrator, Writer และ Reader ทำให้สามารถบริหารองค์กรในระดับกว้างตามแต่ละองค์กรได้
  • สามารถเชื่อมต่อกับ IDP ที่องค์กรใช้งานอยู่ผ่าน SAML / OIDC ได้
  1. ลิงก์อ้างอิง
  • Support Center - https://support.cremit.io - สามารถรับความช่วยเหลือผ่านระบบตั๋วและเอกสารได้
  • Status Page - https://status.cremit.io - สามารถตรวจสอบสถานะของบริการได้
  • Security Center - https://security.cremit.io - สามารถตรวจสอบระดับความปลอดภัยที่ Cremit ยึดถือได้
  1. โรดแมป - https://releases.cremit.io
  • การขยายขอบเขตการเชื่อมต่ออย่างต่อเนื่อง - ปัจจุบันยังคงมีเหตุการณ์ข้อมูลรั่วไหลและการจัดการข้อมูลส่วนบุคคลอย่างไม่เป็นระบบใน AWS S3, GCS, Azure Storage เป็นต้น ดังนั้นทีม Cremit จึงได้เพิ่มส่วนนี้ไว้ในโรดแมปการขยายขอบเขตแล้ว
  • การขยายฟังก์ชันการจัดการอย่างต่อเนื่อง
  • มีแผนจะขยายฟังก์ชันการจัดการอย่างต่อเนื่อง เพื่อให้สามารถทำ Incident management ร่วมกับฟังก์ชัน Threat ได้
  • การขยายขอบเขตการตรวจจับ Secret อย่างต่อเนื่อง - เครื่องมือ SaaS ยังมีการอัปเดตและเชื่อมต่อใหม่ ๆ กันทุกสัปดาห์เป็นจำนวนหลายสิบรายการ ดังนั้นทีม Cremit จึงอัปเดต Secret Pattern / Validation Pattern อย่างต่อเนื่องผ่านการ F/U
  • เพิ่มฟังก์ชันให้ผู้ใช้จัดการข้อมูล PII ได้เอง - ปัจจุบันรูปแบบ PII ที่ Cremit จัดการแบบ managed อยู่ ผู้ใช้จะสามารถเพิ่มแพตเทิร์นได้ด้วยตนเอง
  • เพิ่มฟังก์ชันตรวจสอบข้อมูล Authentication ที่ผู้ใช้จัดการด้วยตนเอง
  • มีแผนจะเพิ่มฟังก์ชันที่สามารถเชื่อมโยง Secret เข้ากับข้อมูลล็อกอินของระบบ Admin ภายใน ระบบ back office เป็นต้น
  1. ข้อมูลเพิ่มเติมอื่น ๆ
  • Cremit เป็นบริษัทระยะเริ่มต้นมาก ก่อตั้งขึ้นในเดือนพฤษภาคม ปี 2023 และโชคดีที่ได้รับเงินลงทุน seed รอบแรกจาก Primer ในเดือนสิงหาคมของปีที่ก่อตั้ง
  • หากต้องการนัดคุยกับทีมของเรา สามารถขอนัดผ่านหน้าเว็บไซต์ได้ทุกเมื่อ!
  • ตอนนี้มีช่วงทดลองใช้ฟรีและมี Free Plan ให้ใช้งานด้วย โปรดทราบว่าบางฟังก์ชันจะมีข้อจำกัดอยู่บ้าง!

URL สมัครใช้บริการ - https://register.cremit.io

2 ความคิดเห็น

 
00001 2024-03-11

เครื่องมือตรวจจับแบบนี้ส่วนใหญ่มักจำกัดอยู่แค่รีโพซิทอรีหรือโค้ด แต่นี่ตรวจจับได้ถึงเครื่องมืออย่าง Notion หรือ Jira ด้วย เลยดีมากครับ

 
cremit 2024-03-11

ใช่ครับ/ค่ะ! เครื่องมือเดิม ๆ มักจะมุ่งเน้นไปที่ DevSecOps เป็นหลัก
เป้าหมายของเราคือการตรวจหาทุกจุดที่ Credential อาจรั่วไหลได้ ไม่ว่าจะเป็นเครื่องมือสำหรับการทำงานร่วมกัน ไดรฟ์ หรือรีโพซิทอรี!
ขอบคุณที่ให้ความสนใจครับ/ค่ะ!