AWS Security Agent 功能
按需渗透测试
全部打开AWS Security Agent 通过部署专用人工智能代理来发现和报告经过验证的安全漏洞,将定期评测转换为持续验证,从而提供按需渗透测试。通过针对 OWASP(开放全球应用程序安全项目)十大漏洞和业务逻辑缺陷测试 Web 应用程序和 API,通过量身定制的多步攻击场景来识别复杂的漏洞。
AWS Security Agent 通过漏洞利用来验证安全调查发现,提供可重现的漏洞利用路径、全面的影响分析以及易于使用开发人员友好型语言实施的修复。这可以帮助团队优先考虑合法的高影响安全风险,而不会将时间浪费在误报上。
AWS Security Agent 将缓慢且资源密集型的定期渗透测试转换为与您的开发速度相匹配的持续测试。现在可以进行按需测试,组织可以将渗透测试扩展到关键应用程序之外,并使用相同的资源保护其整个产品组合。
AWS Security Agent 通过学习您的源代码和文档来识别和利用自动安全扫描工具找不到的漏洞,从而了解您的应用程序的上下文。通过了解您的应用程序上下文和数据流,可以制定有针对性的攻击场景,进而验证实际的可利用风险,而不仅仅是表面层面的调查发现。这种上下文感知测试可发现对您的业务至关重要的关键漏洞。
Security Agent 与包括 SmugMug、Wayspring 和 HENNGE K.K. 在内的客户以及 AWS Pentest 内部团队一起对数百个应用程序进行了测试,可始终以高精度识别合法的关键漏洞,并召回匹配的人工渗透测试器。Security Agent 使安全团队能够专注于复杂的攻击向量,同时保持全面的漏洞覆盖范围,最大限度地减少误报。
通过全面的 API 支持,将渗透测试直接嵌入到您的开发工作流程中。通过 CI/CD 管道触发自动化安全测试,将测试结果集成到现有工具中,并在每次部署时验证安全性,从而实现与开发速度相匹配的持续安全验证。
在不妥协安全性的前提下,构建复杂的多账户架构。Security Agent 支持跨账户 VPC 配置,无论您的账户如何组织,都能对整个 AWS 基础设施进行渗透测试。
生成包含执行摘要、附带 CVSS 评分的详细调查发现、补救指南以及合规性映射的综合报告。导出为 PDF,以便分发给安全团队、合规官员或外部审计师,为审查和监管评测提供相关文件
每次运行都能提升测试精度。针对调查发现提供直接反馈——标记误报、为漏洞补充背景信息或确认漏洞利用情况,以便在未来的测试中提供更相关的结果,从而减少干扰,帮助您的团队专注于对应用程序至关重要的问题。
主动安全
全部打开AWS Security Agent 通过提供有关设计文档的实时安全反馈,并在编写任何代码之前评测组织安全要求的合规性,来转移安全性。AppSec 团队通过 Web 应用程序上传文档,接收补救指导并对调查发现进行优先排序,从而加快审核周期。通过主动将您的安全标准嵌入到每一次设计审核中,可以减少后期架构返工,并与多个开发团队保持同步。
AWS Security Agent 根据贵组织安全要求和常见漏洞分析拉取请求,主动保护应用程序的安全。开发人员直接在其 GitHub 工作流程中获得补救指导,而 AppSec 团队则将存储库配置为受监控并干预关键问题。这将安全专业知识嵌入到所有存储库中,从而减少了开发管道中与安全相关的延迟。
AWS Security Agent 执行按需渗透测试,通过量身定制的多步攻击场景发现并报告经过验证的安全漏洞。通过影响分析、可重现的攻击路径和随时可实现的代码修复来记录这些调查发现,将渗透测试从数周缩短到数小时,并将渗透测试扩展到所有应用程序,而不仅仅是关键应用程序。
AWS Security Agent 可在 AWS、混合和多云环境中运行,无论您的基础设施设置如何,都能提供一致的安全指导和测试。
通过分析调查发现进行全面的安全审核,并通过 Web 应用程序管理整个组织的渗透测试范围。
借助功能齐全的 API 和 SDK 支持,将 Security Agent 功能直接集成到您的工作流程和工具链中。
原生 GitHub Enterprise 集成可在您现有的代码审查流程中实现安全审查,让开发人员能够在代码投入生产环境之前识别并修复安全问题,且无需改变团队的工作方式。
自信地扩展测试操作。服务配额定义您的账户可执行的并发测试、待测应用程序以及 API 请求的最大数量。通过控制台直接查看当前使用情况、监控配额并申请配额提升,确保您的安全测试能够随着开发速度的提升而扩展,且不会出现意外中断。
在利用 Security Agent 功能的同时,完全掌控您的加密密钥。CMK 支持确保您的安全数据始终使用您管理的密钥进行加密,从而满足受监管行业以及企业安全政策的合规性要求。
大规模组织和跟踪安全测试。按团队、环境、合规性框架或业务部门将自定义标签应用于测试、应用程序和调查发现,以匹配您的组织结构。使用标签筛选结果、生成针对性报告并分配成本,从而轻松管理数百个应用程序和多个团队的安全测试。
量身定制的指导
全部打开在 AWS 管理控制台中一次性定义组织的安全要求。在每次安全审核期间,AWS Security Agent 会自动使用您的特定策略对所有应用程序进行验证,从而确保团队解决您关心的风险,而不是提供通用安全检查清单。
在提出安全建议之前,AWS Security Agent 会分析您的设计文档、业务需求和源代码,进而了解每个应用程序。通过了解您的技术模式、架构决策和业务上下文,该代理在设计审核、代码分析和渗透测试中针对每个应用程序的独特风险状况提供量身定制的指导。您将获得适合您的应用程序的安全建议,而不是一刀切的规则。
AWS Security Agent 利用近二十年的 AWS 云和应用程序安全专业知识以及 AWS 安全最佳实践,提供全面的安全指导。AWS 安全基础设施受到一些对安全最敏感的组织(例如政府、金融服务和医疗保健)的信任。