3P by cremit 3달전 | favorite | 댓글 2개

안녕하세요. 긱 뉴스 여러분!

저희가 해결하고 있는 문제가, 저희 팀 모두가 잘 보는 GeekNews에 올라와 너무 반가운 글이 있었는데요.
https://news.hada.io/topic?id=13442
스레드 댓글에 소개시켜달라는 말씀이 있어서 저희가 열심히 만든 제품을 소개해봅니다.

  1. 프로젝트 소개
  • 각종 SaaS 서비스와 연동하기 위해서 사용되는 Secret API Key들에 대한 탐지서비스를 제공합니다.
  • TruffleHog, GitLeaks 등 많은 도구들이 있지만, DevSecOps 도구들에 치중되어 있어, 실제 보안팀의 입장, 인프라관리팀의 입장에서 사용하기에는 엔지니어링 비용이 많이 들어가는 단점을 개선하고 있습니다.
  • GitHub, GitLab 뿐만 아니라 현재 Confluence, Jira, Notion 등의 범위까지 확장하여 연동할 수 있습니다.
  • Credential(Secret, PII) 중심의 보안을 Build-up 할 수 있게 도와주며 위협관리 기능을 통해 조직의 Credential 보안 위협을 파악 할 수 있습니다.
  • SAML / OIDC 연동 등 각종 IDP와 연계할 수 있는 기능을 제공합니다.
  1. 기능 소개
  • Secret 탐지 기능을 제공합니다. Secret 키의 상태정보까지 파악하여 Active / Inactive 등의 * 상태를 통해 False-Positive 에서 벗어날 수 있습니다.
  • PII 탐지 기능을 제공합니다. NLP가 포함되어 있어 단순 Regex 보다는 문맥의 파악을 통해 조금 더 정확하게 개인정보의 노출을 파악할 수 있습니다.
  • Threat Policy 기능을 제공합니다. 예로, AWS Active Key가 Active 된 상태를 High 위협으로 정의하고, 우선순위를 파악할 수 있습니다.
  • Dashboard 기능을 제공합니다.
  • 연동 범위는 크게 두가지로 나뉩니다.
    **Target - 퍼블릭 Github 등을 추가하여 모니터링 할 수 있습니다.
    ** Integration - 내부(Private)용으로, Github, GitLab, Conflucne, Jira, Notion 등을 연동할 수 있습니다.
  1. 멤버 관리
  • 크게 Administrator, Writer, Reader로 권한이 나뉘어 조직별로 큰 범위에서의 조직 운영이 가능합니다.
  • SAML / OIDC 연동을 통해 조직이 운영하고 있는 IDP와 연동이 가능합니다.
  1. 참고 링크
  1. 로드맵 - https://releases.cremit.io
  • 지속적인 연동범위의 확장 - AWS S3, GCS, Azure Storage 등에서도 지속적인 유출사고,개인정보의 무분별한 관리가 되고 있습니다. 이에 크리밋팀은 확장범위 로드맵에 추가가 되어 있습니다.
  • 지속적인 관리기능의 확장
  • Thtreat 기능과 연계되어 Incident관리를 할 수 있는 관리기능이 지속적으로 확장 될 예정입니다.
  • 지속적인 Secret 탐지 범위의 확장 - SaaS 도구는 지금도 주에 수십개씩 업데이트가 되고, 연계가 되고 있습니다. 이에 크리밋팀은 지속적으로 Secret Pattern / Validation Pattern을 F/U 하여 업데이트합니다.
  • PII Data에 대한 유저 관리기능 추가 - 현재 크리밋에서 Managed하게 관리가 되는 PII 패턴을 유저가 직접 추가할 수 있습니다.
  • 유저가 직접 Handling하는 Authentication 정보들에 대한 검증기능 추가
  • 내부 Admin시스템, 백오피스 등의 로그인 정보와 연계하여 Secret과 연동할 수 있는 기능을 추가할 예정입니다.
  1. 그 외 추가적인 정보
  • 크리밋은 23년 5월에 설립된 매우 초창기의 기업입니다, 다행히 설립된년도의 8월에 Primer에게 초기 시드투자를 받을 수 있었습니다.
  • 저희 팀과 미팅이 필요하시다면 언제든 홈페이지를 통해 미팅을 신청해주세요!
  • 현재 무료로 사용할 수 있는 기간과, Free Plan이 있습니다. 기능의 제한이 조금씩 있으니 참고 부탁드립니다!

서비스 가입 URL - https://register.cremit.io

대부분의 이런 탐지 도구들이 리포지토리나 코드에 한정되던데, 이건 노션이나 지라 같은 도구까지 탐지해서 좋네요

네 맞습니다! 기존의 도구들은 DevSecOps에 치중되어 있는데요.
저희는 협업도구와 드라이브, 저장소 등 Credential이 노출될 수 있는 모든 위치를 탐지하는걸 목표로합니다!
관심에 감사드려요!