亚马逊云科技Amazon Security Agent按需渗透测试功能已正式上线,支持用户对全部应用程序开展安全测试,突破周期性测试瓶颈实现按需即用。该功能同步覆盖多云环境,助企业统一管理渗透测试工作流。
突破周期性测试瓶颈
亚马逊云科技副总裁兼首席信息安全官Amy Herzog表示:"Amazon Security Agent将渗透测试周期从数周缩短至数小时,同时捕捉传统扫描器遗漏的关键漏洞。通过AI自主协作提供持续保护,该方案成本远低于人工渗透测试,使企业能对所有应用实施高频安全验证。"
该功能显著扩大测试覆盖范围,消除关键/非关键应用的安全盲区。用户可在开发过程中即时验证应用安全性,将风险暴露窗口压缩至数天。
工作原理深度解析
Amazon Security Agent作为新一代自主系统,通过复杂多步骤攻击场景完成漏洞发现、验证与报告。其创新验证机制可规避传统扫描器的误报问题:
以支付功能部署为例,用户仅需几分钟启动测试,数小时内即可获取经验证结果。系统全程展示攻击链构建过程、有效载荷运用逻辑及漏洞验证路径,每个发现均附CVSS风险评分、业务影响分析及重现步骤。
按需渗透测试工作流程
创建Agent空间 为应用划定逻辑边界,自动接入代码库与设计文档,生成定制化测试用例。例如电商平台可识别支付篡改及会话劫持风险点。
完成域名验证 通过DNS TXT记录或文件上传进行所有权认证,确保证授权合规性,避免测试延迟。
注入上下文信息 提供源代码、API规范等资料可显著提升检测精度,精准识别低风险漏洞如何演变为关键攻击入口。
客户实证效果
安全服务公司HENNGE证实:"Amazon Security Agent提供的上下文感知型测试发现手动流程遗漏的漏洞,将测试时间缩短90%以上。"房地产平台Scout24安全技术主管Abdul Al-Kibbe强调其精准定位关键公开漏洞的能力。智能护理公司Bamboo Health指出:"该工具通过理解代码上下文揭示深层问题,其发现深度超越传统扫描器与人工渗透测试。"
Amazon Security Agent在CVE Bench v2.0测试中取得92.5%的漏洞验证成功率,每个发现均含业务风险说明与PDF标准化报告,直通修复环节。
全生命周期安全防护
该功能整合SAST、DAST与渗透测试能力,基于应用架构图、源代码等上下文构建攻击链。例如在电商平台中可验证价格篡改漏洞对营收的直接冲击,同时追踪低风险漏洞如何串联成高危攻击路径。
当前已在美国东部(弗吉尼亚)、东京、法兰克福等亚马逊云科技区域开放服务。
