北京2026年4月8日 /美通社/ -- 亞馬遜云科技現(xiàn)已正式推出Amazon Security Agent按需滲透測試功能�����,使用戶能夠?qū)λ袘?yīng)用程序運(yùn)行全面的安全測試����,而非僅針對最關(guān)鍵的應(yīng)用。這一里程碑式的改進(jìn)將滲透測試從周期性的瓶頸轉(zhuǎn)變?yōu)榘葱杩傻玫墓δ?��,并可隨用戶在亞馬遜云科技�、微軟Azure��、谷歌GCP�����、其他云提供商以及本地環(huán)境中的開發(fā)速度而同步擴(kuò)展�。憑借對多云的支持,Amazon Security Agent可讓用戶在整個基礎(chǔ)架構(gòu)中整合滲透測試工作��。
亞馬遜云科技副總裁兼首席信息安全官Amy Herzog表示:"我很高興看到像Amazon Security Agent這樣的前沿Agent如何為我們的客戶革新關(guān)鍵工作流程���。他們能夠?qū)B透測試時間從幾周縮短到幾小時��,同時發(fā)現(xiàn)傳統(tǒng)掃描器錯過的關(guān)鍵漏洞��。在亞馬遜云科技��,我們也在使用Amazon Security Agent���。這正是AI成為自主合作伙伴以提供全面�����、持續(xù)保護(hù)的絕佳范例���。"
Amazon Security Agent提供7x24小時的全天候自主滲透測試,成本遠(yuǎn)低于人工滲透測試�����。大多數(shù)企業(yè)由于時間和成本的限制�����,僅對最關(guān)鍵的應(yīng)用程序進(jìn)行人工滲透測試����,并定期執(zhí)行這些測試。這種方法可能導(dǎo)致其大部分應(yīng)用程序在測試間隔期內(nèi)面臨漏洞威脅���。Amazon Security Agent允許用戶提高所有應(yīng)用(不只是最關(guān)鍵應(yīng)用)的滲透測試速度��、頻率和覆蓋范圍�����。該方案將滲透測試的時間周期從數(shù)周縮短至數(shù)天�,在保持開發(fā)速度的同時大幅縮短風(fēng)險(xiǎn)暴露窗口��。
在預(yù)覽期間��,安全服務(wù)公司HENNGE K. K.表示:"Amazon Security Agent提供了極具價(jià)值的見解�����,增強(qiáng)了HENNGE產(chǎn)品和服務(wù)的穩(wěn)固性——這些見解是我們通過手動測試未曾發(fā)現(xiàn)的��。這種具有上下文感知能力的AI Agent方法提供了與傳統(tǒng)方法不同的見解�����,同時還能發(fā)現(xiàn)除純粹的安全問題之外的有價(jià)值的應(yīng)用改進(jìn)方案��。這使我們能夠快速加快安全生命周期����,將典型測試時間縮短90%以上�。"
按需滲透測試的工作原理
Amazon Security Agent代表了一種新型的前沿Agent——自主系統(tǒng)�,它們能夠獨(dú)立完成目標(biāo),大規(guī)模擴(kuò)展以處理并發(fā)任務(wù)��,并且無需持續(xù)的人工干預(yù)即可持久運(yùn)行�����。它部署了專門的AI Agent����,通過復(fù)雜的多步驟攻擊場景來幫助發(fā)現(xiàn)、驗(yàn)證和報(bào)告安全漏洞����。與不經(jīng)驗(yàn)證就生成結(jié)果的傳統(tǒng)掃描器不同,Amazon Security Agent以滲透測試員的身份運(yùn)行���,幫助識別潛在漏洞�,然后嘗試使用有針對性的有效載荷和攻擊鏈來識別這些漏洞����,以此確認(rèn)其為真實(shí)存在的安全風(fēng)險(xiǎn)����。
以部署新的支付處理功能為例��。使用傳統(tǒng)的滲透測試����,可能需要等待數(shù)周甚至數(shù)月后的下一次計(jì)劃評估,或在安全不確定的情況下直接進(jìn)行部署�����。而使用Amazon Security Agent�,用戶只需幾分鐘即可啟動滲透測試�����,并在數(shù)小時內(nèi)收到經(jīng)過驗(yàn)證的測試結(jié)果�����。用戶可以利用這些結(jié)果來識別和修復(fù)關(guān)鍵漏洞��,避免其影響生產(chǎn)環(huán)境��,從而更加自信地進(jìn)行部署。
這種驗(yàn)證方法有助于最大限度地減少誤報(bào)��,并提供Agent推理過程的可視性���。Agent會展示其如何計(jì)劃攻擊���、使用哪些有效載荷、構(gòu)建哪些工具來執(zhí)行漏洞利用以及如何驗(yàn)證漏洞利用是否成功���,從而提供透明度���。每個發(fā)現(xiàn)都包含通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)的風(fēng)險(xiǎn)評分�、特定應(yīng)用程序的嚴(yán)重性評級以及詳細(xì)的重現(xiàn)步驟,因此用戶的團(tuán)隊(duì)可以專注于已確認(rèn)的漏洞�,而不是調(diào)查掃描器產(chǎn)生的噪音。
Amazon Security Agent如何提供主動式�、上下文感知型應(yīng)用程序安全保護(hù)
Amazon Security Agent將靜態(tài)應(yīng)用安全測試(Static Application Security Testing,SAST)�、動態(tài)應(yīng)用安全測試(Dynamic Application Security Testing,DAST)和滲透測試整合到一個具有上下文感知能力的Agent中��。該Agent會讀取設(shè)計(jì)文檔����、架構(gòu)圖�����、基礎(chǔ)設(shè)施即代碼�����、源代碼��、用戶故事和威脅模型�,從而了解用戶如何設(shè)計(jì)�、構(gòu)建和部署應(yīng)用�����。然后���,它會識別單個漏洞如何連接成更高嚴(yán)重程度的攻擊鏈���。更豐富的上下文信息能夠生成更高質(zhì)量的發(fā)現(xiàn)和更具可操作性的修復(fù)建議。
設(shè)置滲透測試的步驟:
- 創(chuàng)建Agent空間作為邏輯邊界���。首先����,為每個應(yīng)用程序或項(xiàng)目創(chuàng)建一個Agent空間。Agent空間充當(dāng)邏輯邊界��,用戶可以在其中連接應(yīng)用程序的文檔和代碼庫���。Agent會利用文檔和代碼中的應(yīng)用程序上下文�,創(chuàng)建針對用戶特定實(shí)現(xiàn)的測試用例����。例如,創(chuàng)建一個電子商務(wù)平臺Agent空間���,并連接用戶的GitHub代碼庫����、API規(guī)范和架構(gòu)文檔��。通過分析這些資料�����,了解用戶的應(yīng)用程序如何處理支付、會話和用戶故事����,Agent會針對用戶具體實(shí)現(xiàn)創(chuàng)建支付篡改漏洞和會話劫持風(fēng)險(xiǎn)的特定測試用例。
- 完成域名所有權(quán)驗(yàn)證�����。在開始測試之前���,通過添加DNS TXT記錄或上傳驗(yàn)證文件的方式完成域名所有權(quán)驗(yàn)證���。此步驟是必需的,有助于確保用戶擁有測試目標(biāo)應(yīng)用程序的授權(quán)�����,從而保護(hù)用戶和亞馬遜云科技的安全�����。用戶應(yīng)在初始配置期間對所有域名完成此一次性設(shè)置���,以避免在運(yùn)行滲透測試時出現(xiàn)延遲�。
- 添加應(yīng)用上下文信息以提高準(zhǔn)確性并獲得更深入的發(fā)現(xiàn)�。雖然并非必須,但提供源代碼和文檔可以顯著提高測試的準(zhǔn)確性���。建議包含源代碼��、API規(guī)范��、架構(gòu)文檔����、產(chǎn)品需求文檔���、現(xiàn)有威脅模型等��。
從發(fā)現(xiàn)到修復(fù):Amazon Security Agent覆蓋完整的安全生命周期
Amazon Security Agent提供經(jīng)過核實(shí)且可操作的調(diào)查結(jié)果���。用戶可查看安全發(fā)現(xiàn)并采取行動,使用Amazon Security Agent進(jìn)行補(bǔ)救��。Amazon Security Agent通過嘗試?yán)寐┒磥眚?yàn)證潛在漏洞���,從而確認(rèn)安全風(fēng)險(xiǎn)的存在��。這種驗(yàn)證方法可以減少誤報(bào)���,并縮短團(tuán)隊(duì)手動驗(yàn)證漏洞發(fā)現(xiàn)所花費(fèi)的時間����,使用戶能夠?qū)W⒂谡嬲枰迯?fù)的漏洞��。該Agent在CVE Bench v2.0測試中取得了92.5%的成功率�,證明了其發(fā)現(xiàn)和驗(yàn)證真實(shí)世界漏洞的能力。
每項(xiàng)發(fā)現(xiàn)都包含CVSS風(fēng)險(xiǎn)評分�、特定應(yīng)用的嚴(yán)重性評級、詳細(xì)的重現(xiàn)步驟以及解釋業(yè)務(wù)風(fēng)險(xiǎn)的影響分析����。例如,在電子商務(wù)應(yīng)用中��,Agent可能會發(fā)現(xiàn)價(jià)格操縱漏洞�,并證明攻擊者可以在結(jié)賬過程中修改產(chǎn)品價(jià)格,使客戶能夠免費(fèi)獲得商品�,從而直接影響收入。該Agent還會識別漏洞是如何環(huán)環(huán)相扣的,從而揭示低嚴(yán)重性漏洞如何成為關(guān)鍵攻擊的入口�。用戶可以將報(bào)告導(dǎo)出為PDF文件��,用于執(zhí)行匯報(bào)���、合規(guī)文檔��、開發(fā)人員交接和審計(jì)跟蹤�。
Amazon Security Agent按需滲透測試現(xiàn)已在美國東部(弗吉尼亞北部)、美國西部(俄勒岡)�����、愛爾蘭���、法蘭克福����、悉尼��、東京等亞馬遜云科技區(qū)域正式可用�����。
房地產(chǎn)數(shù)字平臺公司Scout24直接證實(shí)了這些能力的價(jià)值�。Scout24 SE安全技術(shù)主管Abdul Al-Kibbe表示:"Amazon Security Agent將Agent測試與源代碼上下文相結(jié)合,實(shí)現(xiàn)了代碼感知型應(yīng)用程序安全測試,其性能優(yōu)于傳統(tǒng)的動態(tài)應(yīng)用安全測試�。它識別出了一個其他方法未能發(fā)現(xiàn)的關(guān)鍵公開可利用漏洞。其透明的推理過程讓我們對所探索的攻擊路徑和所達(dá)到的覆蓋范圍充滿信心����。"
智能護(hù)理公司Bamboo Health在其自身使用中驗(yàn)證了上下文感知發(fā)現(xiàn)的深度。Bamboo Health安全運(yùn)營經(jīng)理Travis Allen表示:"Amazon Security Agent通過真正理解應(yīng)用程序及其代碼���,并將這些上下文與測試過程中發(fā)現(xiàn)的問題聯(lián)系起來���,發(fā)現(xiàn)了其他工具未曾揭示的問題。傳統(tǒng)掃描器根本無法與Amazon Security Agent的發(fā)現(xiàn)相媲美��。它讓我們看到了即使是人工滲透測試團(tuán)隊(duì)通常也難以發(fā)現(xiàn)的問題����。我第一次感覺自己擁有了一位AI工具作為我的強(qiáng)有力的防御工具�����。"
