3 pontos por cremit 2024-03-09 | 2 comentários | Compartilhar no WhatsApp

Olá, pessoal do GeekNews!

Ficamos muito felizes em ver no GeekNews, que toda a nossa equipe acompanha, um texto sobre o problema que estamos resolvendo.
https://pt.news.hada.io/topic?id=13442
Houve um comentário na thread pedindo uma apresentação, então gostaríamos de mostrar o produto que construímos com muito esforço.

  1. Apresentação do projeto
  • Oferecemos um serviço de detecção para Secret API Keys usadas na integração com diversos serviços SaaS.
  • Existem muitas ferramentas como TruffleHog e GitLeaks, mas elas tendem a ser focadas em ferramentas de DevSecOps, o que traz o ponto negativo de exigir alto custo de engenharia para uso real do ponto de vista da equipe de segurança e da equipe de administração de infraestrutura. Estamos trabalhando para melhorar isso.
  • Além de GitHub e GitLab, hoje também é possível expandir as integrações para Confluence, Jira, Notion e outros.
  • Ajudamos sua organização a estruturar a segurança com foco em Credential (Secret, PII) e, por meio de recursos de gestão de ameaças, a entender os riscos de segurança relacionados a Credentials na organização.
  • Oferecemos recursos de integração com diversos IDPs, incluindo SAML / OIDC.
  1. Apresentação das funcionalidades
  • Oferecemos funcionalidade de detecção de Secrets. Também identificamos o status das Secret keys, como Active / Inactive, permitindo reduzir False-Positives.
  • Oferecemos funcionalidade de detecção de PII. Como inclui NLP, em vez de depender apenas de Regex, consegue entender melhor o contexto e detectar exposições de dados pessoais com mais precisão.
  • Oferecemos a funcionalidade de Threat Policy. Por exemplo, é possível definir um AWS Active Key em estado Active como uma ameaça High e identificar prioridades.
  • Oferecemos funcionalidade de Dashboard.
  • O escopo de integração se divide amplamente em dois tipos.
    **Target - é possível adicionar e monitorar GitHub público e outros alvos semelhantes.
    **Integration - para uso interno (Private), é possível integrar GitHub, GitLab, Confluence, Jira, Notion e outros.
  1. Gestão de membros
  • As permissões são divididas em Administrator, Writer e Reader, permitindo a operação organizacional em um escopo amplo por organização.
  • Também é possível integrar com o IDP utilizado pela organização por meio de SAML / OIDC.
  1. Links de referência
  1. Roadmap - https://releases.cremit.io
  • Expansão contínua do escopo de integração - vazamentos e gestão indiscriminada de dados pessoais continuam ocorrendo em AWS S3, GCS, Azure Storage e outros. Por isso, a equipe da C remit já incluiu essa expansão no roadmap.
  • Expansão contínua das funcionalidades de gestão
  • As funcionalidades de gestão, conectadas ao recurso de Threat, continuarão sendo ampliadas para permitir gestão de Incident.
  • Expansão contínua do escopo de detecção de Secrets - as ferramentas SaaS continuam sendo atualizadas e integradas aos dezenas por semana. Por isso, a equipe da C remit atualiza continuamente os Secret Pattern / Validation Pattern com acompanhamento constante.
  • Adição de funcionalidade de gestão pelo usuário para dados PII - atualmente, o usuário poderá adicionar diretamente padrões de PII que hoje são gerenciados de forma administrada pela C remit.
  • Adição de funcionalidade de validação para informações de Authentication tratadas diretamente pelo usuário
  • Pretendemos adicionar recursos que permitam relacionar Secrets com informações de login de sistemas internos de Admin, backoffice e similares.
  1. Outras informações adicionais
  • A C remit é uma empresa em estágio bem inicial, fundada em maio de 2023. Felizmente, em agosto do mesmo ano conseguimos receber um investimento seed inicial da Primer.
  • Se quiser marcar uma reunião com nossa equipe, fique à vontade para solicitar pelo site a qualquer momento!
  • Atualmente há um período de uso gratuito e também um Free Plan. Pedimos apenas que considere que existem algumas limitações de funcionalidade.

URL de cadastro do serviço - https://register.cremit.io

2 comentários

 
00001 2024-03-11

A maioria dessas ferramentas de detecção costuma ficar limitada ao repositório ou ao código, mas é ótimo que esta também detecte em ferramentas como Notion ou Jira.

 
cremit 2024-03-11

Sim, isso mesmo! As ferramentas existentes são mais focadas em DevSecOps.
Nosso objetivo é detectar todos os locais em que credenciais podem ser expostas, como ferramentas de colaboração, drives e repositórios!
Agradecemos o interesse!