Shin Eun-su,AWS Korea安全领域首席解决方案架构师

Amazon Web Services(AWS)表示,在高性能AI大幅缩短漏洞发现和攻击代码生成时间的背景下,企业需要重新调整安全策略。AWS提出的三项重点分别是Shift Left、持续验证和AI代理安全。

AWS Korea安全领域首席解决方案架构师Shin Eun-su于1日在AWS Korea举行的记者会上表示,过去高危漏洞的发现主要依赖少数安全专家,但随着高性能AI普及,更多人都能更容易地找到漏洞,企业需要应对的漏洞数量也将明显增加。与此同时,AI发现漏洞、生成攻击代码的速度也可能快于人工。

Shin Eun-su表示,Shift Left的核心在于将安全治理前移。与其等到系统上线后再打补丁,不如在开发和构建阶段就发现并修复漏洞。AWS推出面向安全场景的AI代理,也正是出于这一考虑。他指出,Security Agent如果由开发团队直接使用,释放的价值会更大,而不应仅限于安全团队使用。

在持续验证方面,AWS强调,企业需要从周期性审计转向常态化验证机制。至于AI代理安全,Shin Eun-su认为,在高性能AI扩散带来新威胁的情况下,仅由安全团队承担全部安全责任的组织模式已存在明显局限,关键是让组织内所有成员都将安全视为一种文化。

为帮助企业提升AI时代的安全能力,AWS正加快强化多层防御体系、自动推理,以及安全场景下的AI代理能力。

AWS介绍称,其目前在后台运行三套内部安全系统,用于保护基础设施,且无需客户额外介入。其一是MadPot,这是一套全球蜜罐系统,目的是诱导攻击者误以为目标为真实生产环境,从而识别恶意行为者,并将相关信息共享给情报机构及普通企业。

第二套系统Mithra是一种大型图神经网络模型,可分析数十亿条数据,以识别恶意域名和C&C通信域名,检测结果可与Amazon GuardDuty(GuardDuty)等服务联动。第三套系统Sonaris则可对流入S3等关键资产的威胁进行自动检测和拦截。

自动推理也是Shin Eun-su重点强调的方向之一。他表示,大语言模型(LLM)基于概率生成答案,可能出现“幻觉”,因此在安全领域,单靠基于概率的生成方式并不足够。以IAM Access Analyzer为例,该服务可通过自动推理验证策略是否意外放开访问权限;Amazon Bedrock Guardrails也通过类似方式追踪模型回答是否出现幻觉。

AWS判断,未来AI代理在企业安全策略中的作用还会进一步扩大,并正持续扩充相关产品线。此次记者会重点介绍了Security Agent以及近期推出的“AWS Continuum”。

AWS Security Agent目前提供威胁建模、设计评审、代码评审和渗透测试(Pentest)四项能力。其中,渗透测试功能已由生成式AI自动执行,并已正式商用;其余三项功能仍处于预览阶段。Shin Eun-su表示,只要目标系统能够通过互联网或VPN访问,即便不部署在AWS环境中,也可以进行检测。

Continuum目前仍处于Beta阶段,聚焦通过多智能体协同方式分析代码漏洞。其优先级代理采用SSVC(Stakeholder-Specific Vulnerability Categorization)方法评估漏洞,除传统CVSS(Common Vulnerability Scoring System)外,还会同时考虑业务影响。

其中,验证代理会在沙箱环境中直接运行代码,以确认是否存在误报;修复代理则负责给出修复方案。系统可分阶段运行“学习模式”和“应用模式”。Shin Eun-su表示,未来Security Agent与Continuum将整合,演进为统一服务。

活动现场,LG CNS RED团队负责人Lee Jin-soo也分享了引入AWS Security Agent的使用经验和实际效果。根据介绍,LG CNS RED团队由白帽黑客组成,主要为公司自有解决方案及客户业务系统提供渗透测试服务。

LG CNS表示,在向客户交付解决方案之前,需要确认性能、合规和安全等要求是否全部满足。对于开发组织而言,完成相关流程往往意味着较高的时间和成本压力。

基于这一背景,LG CNS评估了AI渗透测试方案,并自2025年起调研多种产品,最终选择AWS Security Agent,并以“叠加到既有流程中”的方式落地应用。

Lee Jin-soo表示,在设定目标系统并启动检测后,代理会自动执行渗透测试;团队获取结果后,再由白帽黑客对必要部分进行补充验证,并对复杂业务逻辑另行检查,最终形成综合报告交付给开发人员和客户。

他表示,导入后的效果较为明显:原本人工执行需要4至5天的渗透测试,如今可在5小时内完成,检出准确率最高超过90%;对于定期检测场景,仅使用Security Agent也已基本足够,整体成本较原有方式可降低80%以上。不过他也指出,利用AI代理开展安全工作时,结果会因上下文设置不同而有所差异;如果上下文注入更充分,就能覆盖更多攻击面,并减少误报。

目前,LG CNS正将Security Agent的使用范围扩大至全公司层面。Lee Jin-soo表示,在AI降低黑客攻击门槛、企业AI导入不断扩大并推高攻击面的背景下,持续增加专业安全人力将成为组织沉重负担,AWS Security Agent或许能够成为一种解决方案。

关键词

#AWS #Shift Left #持续验证 #AI代理安全 #Security Agent #AWS Continuum #渗透测试 #GuardDuty #S3 #IAM Access Analyzer
版权所有 © DigitalToday。未经授权禁止转载或传播。