Recursos do Amazon Inspector

O Amazon Inspector é um serviço abrangente de gerenciamento de vulnerabilidades que envolve vários recursos, como o Amazon EC2, funções do Lambda e workloads de contêineres. Ele identifica diferentes tipos de vulnerabilidades, incluindo vulnerabilidades de software e exposição não intencional da rede, que podem ser usadas para comprometer workloads, redirecionar recursos para uso mal-intencionado ou facilitar a exfiltração de dados.

Inicie o Amazon Inspector em várias contas com uma etapa no console do Amazon Inspector ou com uma única chamada de API. O Amazon Inspector permite que você atribua uma conta de administrador delegado (DA) do Inspector para sua organização, que então pode, sem interrupções, iniciar e configurar todas as contas-membro, além de consolidar todas as descobertas.

Uma vez iniciado, o Amazon Inspector descobre automaticamente todas as instâncias do Amazon EC2, funções do Lambda e imagens de contêiner no Amazon ECR. Ele inicia imediatamente a verificação de vulnerabilidades de software e exposição não intencional da rede. Todas as workloads são continuamente verificadas novamente quando uma nova CVE é publicada ou quando há alterações nas workloads, incluindo a instalação de um novo software em uma instância do EC2.

O Amazon Inspector usa o AWS Systems Manager Agent (SSM Agent) amplamente implantado para coletar o inventário e as configurações de software das suas instâncias do Amazon EC2. O inventário e as configurações coletadas das aplicações são usadas para avaliar as workloads em busca de vulnerabilidades.

O Amazon Inspector gera uma pontuação de risco altamente contextualizada para cada descoberta ao correlacionar informações de CVEs com fatores ambientais, como resultados de acessibilidade da rede e dados de capacidade de exploração. Isso ajuda a priorizar as descobertas, além de destacar as descobertas mais críticas e os recursos vulneráveis. O cálculo da pontuação do Amazon Inspector (e quais fatores influenciaram esta pontuação) pode ser visualizado na guia Pontuação do Inspector no painel lateral Detalhes das descobertas.

O Amazon Inspector oferece suporte à supressão de descobertas com base em critérios que você define. Você pode criar essas regras de supressão para suprimir descobertas que sua organização considera um risco aceitável.

O Amazon Inspector detecta automaticamente se uma vulnerabilidade recebeu um patch ou foi corrigida. Após a detecção, ele altera automaticamente o estado da descoberta para “Closed” (Fechada) sem intervenção manual.

O Amazon Inspector fornece uma visão geral abrangente e quase em tempo real da cobertura do ambiente em toda a organização para que você possa evitar lacunas da cobertura. Ele fornece métricas e informações detalhadas sobre contas e também de instâncias do Amazon EC2, de repositórios do Amazon ECR e de imagens de contêiner que estão sendo ativamente verificados pelo Amazon Inspector. Além disso, ele destaca os recursos que não estão sendo monitorados ativamente e fornece orientações sobre como incluí-los.

Todas as descobertas são agregadas no console do Amazon Inspector, roteadas para o AWS Security Hub e enviadas por push pelo Amazon EventBridge para automatizar fluxos de trabalho, como a emissão de bilhetes.

O Amazon Inspector verifica o código de aplicações proprietárias personalizadas dentro de uma função do Lambda em busca de vulnerabilidades de segurança de código, como falhas de injeção, vazamentos de dados, criptografia fraca ou criptografia ausente, com base nas melhores práticas de segurança da AWS. Ao detectar vulnerabilidades de código na função ou na camada do Lambda, o Amazon Inspector gera descobertas práticas de segurança que fornecem vários detalhes, como nome do detector de segurança, trechos de código afetados e sugestões de remediação para solucionar vulnerabilidades. Ao abordar as vulnerabilidades nas camadas básicas, você pode ajudar a melhorar a segurança de todas as funções downstream do Lambda.  

O Amazon Inspector oferece gerenciamento automatizado e centralizado das exportações da lista de materiais de software (SBOM). Ele permite a exportação fácil de uma SBOM consolidada para todos os recursos monitorados para um bucket pré-configurado do Amazon S3, compatíveis com formatos padrão do setor. Você pode baixar o artefato SBOM, realizar consultas no Amazon Athena ou criar painéis do Amazon QuickSight para obter insights valiosos e visualizar tendências.