Tipos de descoberta do Amazon Inspector

Esta seção descreve os diferentes tipos de descoberta no Amazon Inspector.

Vulnerabilidade do pacote

As descobertas de vulnerabilidade de pacotes identificam pacotes de software em seu AWS ambiente que estão expostos a vulnerabilidades e exposições comuns (). CVEs Os invasores podem explorar essas vulnerabilidades sem correção e comprometer a confidencialidade, a integridade ou a disponibilidade dos dados, ou para acessar outros sistemas. O sistema de CVE é um método de referência a informações conhecidas publicamente sobre vulnerabilidades e exposições de segurança. Para obter mais informações, consulte https://www.cve.org/.

O Amazon Inspector pode gerar descobertas de vulnerabilidade de pacotes para instâncias EC2, imagens de contêineres ECR e funções do Lambda. As descobertas de vulnerabilidade do Package incluem detalhes exclusivos desse tipo de descoberta. Esses detalhes são a pontuação do Inspector e a inteligência de vulnerabilidade.

Para instâncias do Windows EC2, as descobertas de vulnerabilidade de pacotes podem ser identificadas pela Base de Conhecimento da Microsoft (KB) IDs em vez de individualmente CVEs. Se uma atualização de KB abordar um ou mais CVEs, o Amazon Inspector relata uma única descoberta de KB, por exemploKB5023697, em vez de uma descoberta separada para cada CVE. Uma descoberta de KB especifica a maior pontuação de CVSS, pontuação EPSS e disponibilidade de exploração em todos os constituintes. CVEs

Vulnerabilidade de código

As descobertas da vulnerabilidade do código ajudam a identificar linhas de código que podem ser exploradas. As vulnerabilidades do código incluem criptografia ausente, vazamentos de dados, falhas de injeção e criptografia fraca. O Amazon Inspector gera descobertas de vulnerabilidade de código por meio da verificação da função do Lambda e seu recurso de Segurança de Código.

O Amazon Inspector avalia o código da aplicação de função do Lambda usando raciocínio automatizado e machine learning a fim de verificar a conformidade geral de segurança. Ele identifica violações de políticas e vulnerabilidades com base em detectores internos desenvolvidos em colaboração com o Amazon Q. Para ver uma lista de detecções possíveis, consulte a Biblioteca de Detectores do Amazon Q.

A verificação de código captura trechos de código para destacar as vulnerabilidades detectadas. Por exemplo, um trecho de código pode mostrar credenciais com codificação rígida ou outros materiais sensíveis em texto simples. O Amazon Q armazena trechos de código associados a vulnerabilidades de código. Por padrão, seu código é criptografado com uma chave pertencente àAWS. No entanto, é possível criar uma chave gerenciada pelo cliente para criptografar o código caso queira ter mais controle sobre essas informações. Para obter mais informações, consulte Criptografia em repouso para código em suas descobertas.

Acessibilidade de rede

As descobertas de acessibilidade da rede indicam que há caminhos de rede abertos para instâncias do Amazon EC2 em seu ambiente. Essas descobertas aparecem quando as portas TCP e UDP são acessíveis a partir das bordas da VPC, como um gateway de internet (inclusive instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento da VPC ou uma VPN por meio de um gateway virtual. Essas descobertas destacam configurações de rede que podem ser excessivamente permissivas, como grupos de segurança mal gerenciados, listas de controle de acesso ou gateways de internet, ou que podem permitir acesso potencialmente mal intencionados.

O Amazon Inspector gera somente descobertas de acessibilidade de rede para instâncias do Amazon EC2. O Amazon Inspector realiza varreduras em busca de resultados de acessibilidade da rede a cada 12 horas, uma vez que o Amazon Inspector é ativado.

O Amazon Inspector avalia as seguintes configurações ao verificar caminhos de rede: