Show GN: 리포지토리, 협업도구에서 Credential / Secret 노출을 막는 방법

(cremit.io)

안녕하세요. 긱 뉴스 여러분!

저희가 해결하고 있는 문제가, 저희 팀 모두가 잘 보는 GeekNews에 올라와 너무 반가운 글이 있었는데요.
https://news.hada.io/topic?id=13442
스레드 댓글에 소개시켜달라는 말씀이 있어서 저희가 열심히 만든 제품을 소개해봅니다.

각종 SaaS 서비스와 연동하기 위해서 사용되는 Secret API Key들에 대한 탐지서비스를 제공합니다.
TruffleHog, GitLeaks 등 많은 도구들이 있지만, DevSecOps 도구들에 치중되어 있어, 실제 보안팀의 입장, 인프라관리팀의 입장에서 사용하기에는 엔지니어링 비용이 많이 들어가는 단점을 개선하고 있습니다.
GitHub, GitLab 뿐만 아니라 현재 Confluence, Jira, Notion 등의 범위까지 확장하여 연동할 수 있습니다.
Credential(Secret, PII) 중심의 보안을 Build-up 할 수 있게 도와주며 위협관리 기능을 통해 조직의 Credential 보안 위협을 파악 할 수 있습니다.
SAML / OIDC 연동 등 각종 IDP와 연계할 수 있는 기능을 제공합니다.

Secret 탐지 기능을 제공합니다. Secret 키의 상태정보까지 파악하여 Active / Inactive 등의 * 상태를 통해 False-Positive 에서 벗어날 수 있습니다.
PII 탐지 기능을 제공합니다. NLP가 포함되어 있어 단순 Regex 보다는 문맥의 파악을 통해 조금 더 정확하게 개인정보의 노출을 파악할 수 있습니다.
Threat Policy 기능을 제공합니다. 예로, AWS Active Key가 Active 된 상태를 High 위협으로 정의하고, 우선순위를 파악할 수 있습니다.
Dashboard 기능을 제공합니다.
연동 범위는 크게 두가지로 나뉩니다.
**Target - 퍼블릭 Github 등을 추가하여 모니터링 할 수 있습니다.
** Integration - 내부(Private)용으로, Github, GitLab, Conflucne, Jira, Notion 등을 연동할 수 있습니다.

지속적인 연동범위의 확장 - AWS S3, GCS, Azure Storage 등에서도 지속적인 유출사고,개인정보의 무분별한 관리가 되고 있습니다. 이에 크리밋팀은 확장범위 로드맵에 추가가 되어 있습니다.
지속적인 관리기능의 확장
Thtreat 기능과 연계되어 Incident관리를 할 수 있는 관리기능이 지속적으로 확장 될 예정입니다.
지속적인 Secret 탐지 범위의 확장 - SaaS 도구는 지금도 주에 수십개씩 업데이트가 되고, 연계가 되고 있습니다. 이에 크리밋팀은 지속적으로 Secret Pattern / Validation Pattern을 F/U 하여 업데이트합니다.
PII Data에 대한 유저 관리기능 추가 - 현재 크리밋에서 Managed하게 관리가 되는 PII 패턴을 유저가 직접 추가할 수 있습니다.
유저가 직접 Handling하는 Authentication 정보들에 대한 검증기능 추가
내부 Admin시스템, 백오피스 등의 로그인 정보와 연계하여 Secret과 연동할 수 있는 기능을 추가할 예정입니다.

대부분의 이런 탐지 도구들이 리포지토리나 코드에 한정되던데, 이건 노션이나 지라 같은 도구까지 탐지해서 좋네요

네 맞습니다! 기존의 도구들은 DevSecOps에 치중되어 있는데요.
저희는 협업도구와 드라이브, 저장소 등 Credential이 노출될 수 있는 모든 위치를 탐지하는걸 목표로합니다!
관심에 감사드려요!