Sasha
Writer
Amazon Web Services (AWS) vừa ra mắt phiên bản preview của AWS Security Agent, agent bảo vệ thông minh cho toàn bộ vòng đời phát triển ứng dụng. Agent này không chỉ tự động hóa việc đánh giá bảo mật theo yêu cầu của tổ chức mà còn cung cấp khả năng kiểm thử thâm nhập theo ngữ cảnh theo yêu cầu. Bằng cách giám sát liên tục từ khâu thiết kế đến triển khai, agent này giúp doanh nghiệp chủ động phòng ngừa các lỗ hổng bảo mật ngay từ giai đoạn đầu phát triển.
Hiện nay, có hai loại công cụ kiểm thử bảo mật ứng dụng phổ biến: công cụ kiểm thử tĩnh (SAST) kiểm tra đoạn mã mà không xét đến môi trường vận hành thực tế; và công cụ kiểm thử động (DAST) đánh giá ứng dụng đang chạy nhưng lại bỏ qua ngữ cảnh tổng thể của ứng dụng.
Cả hai công cụ này đều có giới hạn vì không hiểu được ngữ cảnh ứng dụng, không nắm bắt được bức tranh toàn cảnh - từ cách thiết kế, môi trường vận hành, đến các mối đe dọa bảo mật tiềm ẩn của ứng dụng. Điều này buộc các đội nhóm bảo mật phải thực hiện đánh giá thủ công, gây tốn thời gian đáng kể. Đặc biệt với kiểm thử thâm nhập, quá trình còn kéo dài hơn khi phải chờ đợi sự sắp xếp từ đơn vị tư vấn bên ngoài hoặc đội ngũ nội bộ.
Khi mọi ứng dụng đều cần đánh giá và kiểm thử thâm nhập theo cách thủ công, khối lượng công việc tồn đọng ngày càng lớn, khiến các ứng dụng phải chờ đợi nhiều tuần, thậm chí nhiều tháng mới có thể được xác thực bảo mật để triển khai. Điều đó khiến khoảng cách giữa tần suất phát hành phần mềm và đánh giá bảo mật ngày càng rộng ra.
Khi bảo mật không được triển khai toàn diện cho tất cả ứng dụng, doanh nghiệp buộc phải đánh đổi giữa việc đảm bảo an toàn và đáp ứng thời hạn, dẫn đến rủi ro về lỗ hổng bảo mật. Theo thống kê, trong khi hơn 60% tổ chức thực hiện cập nhật ứng dụng web hàng tuần hoặc thường xuyên hơn, thì có đến 75% chỉ tiến hành kiểm tra bảo mật hàng tháng hoặc thưa hơn. Đáng chú ý, báo cáo năm 2025 của Cypress Data Defense chỉ ra rằng 62% tổ chức buộc phải chấp nhận triển khai mã nguồn tồn tại lỗ hổng để đáp ứng thời hạn kinh doanh.
AWS Security Agent nổi bật với khả năng nhận biết ngữ cảnh, nó hiểu ứng dụng của bạn một cách toàn diện - từ thiết kế, mã nguồn đến các yêu cầu bảo mật đặc thù. Agent này không chỉ tự động quét và phát hiện các vi phạm bảo mật liên tục, mà còn có thể thực hiện kiểm thử thâm nhập ngay lập tức theo yêu cầu mà không cần lập kế hoạch trước. Đặc biệt, agent này còn tạo ra các kịch bản tấn công được cá nhân hóa dựa trên việc học hỏi từ nhiều nguồn: yêu cầu bảo mật, tài liệu thiết kế và mã nguồn. Nó thích ứng linh hoạt trong quá trình vận hành, phân tích các yếu tố như điểm cuối, mã trạng thái, thông tin xác thực và các lỗi phát sinh. Nhờ đó, các lỗ hổng bảo mật phức tạp được phát hiện sớm trước giai đoạn sản xuất, đảm bảo ứng dụng vận hành an toàn ngay từ khi ra mắt.
Erik Giberti, giám đốc kỹ thuật sản phẩm cấp cao tại SmugMug cho biết sử dụng AWS Security Agent đã giúp việc đánh giá kiểm thử thâm nhập hoàn thành trong vài giờ thay vì nhiều ngày, với chi phí chỉ bằng một phần nhỏ so với kiểm thử thủ công.
“Giờ đây chúng tôi có thể đánh giá các dịch vụ thường xuyên hơn, giảm đáng kể thời gian để xác định và giải quyết vấn đề sớm hơn trong vòng đời phát triển phần mềm," Erik Giberti chia sẻ.
Hiện nay, có hai loại công cụ kiểm thử bảo mật ứng dụng phổ biến: công cụ kiểm thử tĩnh (SAST) kiểm tra đoạn mã mà không xét đến môi trường vận hành thực tế; và công cụ kiểm thử động (DAST) đánh giá ứng dụng đang chạy nhưng lại bỏ qua ngữ cảnh tổng thể của ứng dụng.
Cả hai công cụ này đều có giới hạn vì không hiểu được ngữ cảnh ứng dụng, không nắm bắt được bức tranh toàn cảnh - từ cách thiết kế, môi trường vận hành, đến các mối đe dọa bảo mật tiềm ẩn của ứng dụng. Điều này buộc các đội nhóm bảo mật phải thực hiện đánh giá thủ công, gây tốn thời gian đáng kể. Đặc biệt với kiểm thử thâm nhập, quá trình còn kéo dài hơn khi phải chờ đợi sự sắp xếp từ đơn vị tư vấn bên ngoài hoặc đội ngũ nội bộ.
Khi mọi ứng dụng đều cần đánh giá và kiểm thử thâm nhập theo cách thủ công, khối lượng công việc tồn đọng ngày càng lớn, khiến các ứng dụng phải chờ đợi nhiều tuần, thậm chí nhiều tháng mới có thể được xác thực bảo mật để triển khai. Điều đó khiến khoảng cách giữa tần suất phát hành phần mềm và đánh giá bảo mật ngày càng rộng ra.
Khi bảo mật không được triển khai toàn diện cho tất cả ứng dụng, doanh nghiệp buộc phải đánh đổi giữa việc đảm bảo an toàn và đáp ứng thời hạn, dẫn đến rủi ro về lỗ hổng bảo mật. Theo thống kê, trong khi hơn 60% tổ chức thực hiện cập nhật ứng dụng web hàng tuần hoặc thường xuyên hơn, thì có đến 75% chỉ tiến hành kiểm tra bảo mật hàng tháng hoặc thưa hơn. Đáng chú ý, báo cáo năm 2025 của Cypress Data Defense chỉ ra rằng 62% tổ chức buộc phải chấp nhận triển khai mã nguồn tồn tại lỗ hổng để đáp ứng thời hạn kinh doanh.
AWS Security Agent nổi bật với khả năng nhận biết ngữ cảnh, nó hiểu ứng dụng của bạn một cách toàn diện - từ thiết kế, mã nguồn đến các yêu cầu bảo mật đặc thù. Agent này không chỉ tự động quét và phát hiện các vi phạm bảo mật liên tục, mà còn có thể thực hiện kiểm thử thâm nhập ngay lập tức theo yêu cầu mà không cần lập kế hoạch trước. Đặc biệt, agent này còn tạo ra các kịch bản tấn công được cá nhân hóa dựa trên việc học hỏi từ nhiều nguồn: yêu cầu bảo mật, tài liệu thiết kế và mã nguồn. Nó thích ứng linh hoạt trong quá trình vận hành, phân tích các yếu tố như điểm cuối, mã trạng thái, thông tin xác thực và các lỗi phát sinh. Nhờ đó, các lỗ hổng bảo mật phức tạp được phát hiện sớm trước giai đoạn sản xuất, đảm bảo ứng dụng vận hành an toàn ngay từ khi ra mắt.
Erik Giberti, giám đốc kỹ thuật sản phẩm cấp cao tại SmugMug cho biết sử dụng AWS Security Agent đã giúp việc đánh giá kiểm thử thâm nhập hoàn thành trong vài giờ thay vì nhiều ngày, với chi phí chỉ bằng một phần nhỏ so với kiểm thử thủ công.
“Giờ đây chúng tôi có thể đánh giá các dịch vụ thường xuyên hơn, giảm đáng kể thời gian để xác định và giải quyết vấn đề sớm hơn trong vòng đời phát triển phần mềm," Erik Giberti chia sẻ.