DEV Community

Willie Reyes
Willie Reyes

Posted on

AWS Security Agent

El Problema Real: El Gap entre Desarrollo y Seguridad

La realidad en la mayoria de organizaciones es brutal:

  • Mas del 60% de las organizaciones actualiza sus aplicaciones web semanalmente o con mayor frecuencia
  • Cerca del 75% solo realiza pruebas de seguridad mensualmente o con menos frecuencia
  • Un reporte de Checkmarx 2025 revelo que el 81% de las organizaciones despliega codigo vulnerable a proposito para cumplir con fechas de entrega

El resultado: vulnerabilidades que se cuelan a produccion no por falta de herramientas, sino por un problema de timing.

Las herramientas tradicionales tienen limitaciones claras:

Herramienta / Limitacion
SAST --> Analiza codigo sin contexto de runtime
DAST --> Evalua aplicaciones en ejecucion sin contexto de la aplicacion
Manual Pentest --> Muy costoso y lento para escalar a todo el portafolio.
SCA --> Solo detecta CVEs conocidos en dependencias, sin visibilidad del codigo custom

Ninguna habla con las demas. Ninguna opera suficientemente temprano en el ciclo.

Aca es donde entra el nuevo feature de AWS

AWS Security Agent

AWS Security Agent es un agente de vanguardia que protege proactivamente sus aplicaciones durante todo el ciclo de vida de desarrollo. Realiza revisiones de seguridad automatizadas adaptadas a los requisitos de su organización, crea modelos de amenazas para identificar posibles ataques a sus aplicaciones y ofrece pruebas de penetración contextuales bajo demanda.

La configuracion es muy sencilla aca detallo los pasos

Ingresar a la consola de aws, ir a la opcion AWS Security Agent

Aca debes crear Agent Spaces que es un espacio de trabajo dedicado para una aplicacion o proyect, aca es donde puedes realizar diferentes integraciones como agregar tu zona dns si es que esta alojada en AWS, software de CI/CD como Github, Gitlab y ahora permite Bitbucket.

Una vez creado el espacio de trabajo puedes ir configurando cada opcion

Pruebas de penetracion
Revision de diseno
Modelo de amenazas (publicado hoy 17 de junio del 2026)
Revision del codigo

En la seccion de integraciones puedes agregar los repositorios de codigo en este caso agregue mi repositorio personal de Github

Actualmente permite estas integraciones

En la seccion Dominios de destino puedes agregar los dominios que tengas configurados en tu cuenta de aws o ingresar un dominio y hacer la validacion con un registro TXT

En el espacio luego puedes ya crear la configuracion de la prueba de penetracion

Como ya agregaste la configuracion de dominios esta seccion es escoger el dominio donde se encuentra la aplicacion o sitio web al que se realizara las pruebas de penetracion

Posterior a esto tienes opciones para escoger VPC si tu aplicacion esta dentro de aws y utiliza VPC

Asi tambien las opciones de Logs de las pruebas y resultados, puedes enviar a un grupo de logs de cloudwatch

Tambien puedes configurar Secretos, Funciones Lambda y Buckets de S3 que serian recursos adicionales de tu aplicacion para mejorar el contexto y aprendizaje del agente

Luego viene la configuracion del rol de servicio que el agente de seguridad de AWS necesita para acceder a los recursos

Una vez configurado puedes ingresar a la aplicacion web que se crea para la ejecucion de las pruebas de penetracion

Puedes asignar usuarios de IAM de Identity Center tambien para el acceso a esta aplicacion

Una vez dentro de la aplicacion tienes las opciones mencionadas

Luego de esto nos vamos a la seccion de Pruebas de penetracion y damos click en Crear una prueba de penetracion

Esta es la configuracion de la prueba de penetracion, en este caso agregamos la url destino

Tambien te da de manera opcional excluir tipos de riesgos

Asi como seleccionar una url fuera del alcance

Luego te indica que rol de servicio vas a utilizar para la prueba

Siguiendo con la configuracion puedes indicarle la vpc si aplica, recursos de autenticacion y luego recursos adicionales que se encuentren en repositorios de github o enlaces de S3

Finalmente tienes opciones como "correcion automatica de codigo" aca debes tener cuidado porque puede ejecutar modificaciones en tu aplicacion.

Finalmente le das click en crear y ejecutar

Dependiendo de la aplicacion y de los recursos que se ingresaron puede tomar varias horas, en mis pruebas con sitios estaticos o sencillos se demoro entre 3 a 5 horas

Al finalizar te da los detalles de la prueba

todas las acciones que realizo

Finalmente los resultados

Adicional tienes la opcion de generar un informe de las pruebas de penetracion

El agente ejecuta pentesting autonomo 24/7:

  • Sin scheduling: Tests instantaneos, sin necesidad de agendar con un consultor
  • Crea un plan de ataque personalizado basado en el contexto aprendido de:
    • Documentos de requisitos de seguridad
    • Documentos de diseno
    • Codigo fuente
  • Se adapta dinamicamente durante la ejecucion basandose en lo que descubre: endpoints, codigos de estado, credenciales
  • Documenta hallazgos con:
    • Analisis de impacto
    • Rutas de explotacion reproducibles
    • Code fixes listos para implementar
  • Transforma semanas de pentesting en horas

Cobertura Tecnica: Que Vulnerabilidades Detecta?

El agente parte del OWASP Top 10 pero se personaliza con el contexto de tu aplicacion:

  • Cross-Site Scripting (XSS)
  • Insecure Direct Object References (IDOR)
  • Escalacion de privilegios
  • Authentication bypass
  • SQL Injection
  • Server-Side Request Forgery (SSRF)
  • Business logic flaws
  • Chained attack paths (ataques multi-step encadenados)
  • CVE exploitation
  • Y mas segun el contexto de tu aplicacion

Arquitectura Multi-Agente

AWS Security Agent usa una arquitectura multi-agente especializada:

  • Agente de Reconocimiento: Descubre la superficie de ataque
  • Agente de Planificacion: Construye el plan de ataque personalizado
  • Agentes de Explotacion: Ejecutan cadenas de ataque multi-step
  • Agente de Reporte: Genera hallazgos con rutas reproducibles y fixes

Esta arquitectura le permite entender vulnerabilidades encadenadas a lo largo de tu aplicacion, algo que los scanners estaticos no pueden hacer.

Lo que hay que tener claro:

  • Es una tecnologia en evolucion — funciona mejor como complemento y multiplicador de capacidad, no como sustituto del expertise humano
  • Los escenarios complejos, la gobernanza solida y las pruebas manuales siguen siendo necesarios
  • No reemplaza a un equipo de seguridad, lo potencia
  • La calidad de los resultados dependera de la calidad del contexto que le proveas

Conclusion

AWS Security Agent representa un paso genuinamente importante hacia la automatizacion y escalabilidad en AppSec. Sus capacidades para revisar diseno, analizar codigo y ejecutar pruebas bajo demanda son prometedoras, especialmente para organizaciones que buscan reducir friccion y acelerar la entrega sin sacrificar seguridad.

El paradigma esta cambiando: de seguridad como gate al final del pipeline a seguridad como thread integrado en cada fase del SDLC.

Como profesionales de seguridad en cloud, este es exactamente el tipo de herramienta que debemos entender, evaluar y saber posicionar correctamente en nuestras organizaciones.

Top comments (0)