La crescente capacità dei modelli AI di individuare vulnerabilità software sta creando un paradosso per i responsabili della sicurezza. Trovare problemi è sempre più semplice, mentre comprendere quali abbiano un impatto reale sul business, verificarne l’effettiva sfruttabilità e coordinarne la correzione continua a richiedere processi complessi che coinvolgono team di sviluppo, sicurezza, operations e governance.
AWS colloca in questo scenario il lancio di AWS Continuum, una piattaforma che punta a trasferire all’intelligenza artificiale non soltanto l’individuazione delle vulnerabilità ma anche le attività successive di contestualizzazione, validazione e remediation.
Alla base dell’iniziativa c’è una critica esplicita al modello che ha dominato la cybersecurity aziendale nell’ultimo decennio. La raccolta della telemetria, la sua archiviazione, le query e le dashboard rimangono elementi fondamentali, ma non sono più sufficienti per gestire volumi di rischio che crescono alla velocità imposta dall’intelligenza artificiale. AWS propone quindi un nuovo paradigma basato su telemetria, contesto, ragionamento e azione, nel quale l’obiettivo non è accumulare informazioni ma trasformarle rapidamente in risultati operativi.
L’azienda sostiene che i più recenti frontier models siano ormai in grado di individuare vulnerabilità e ricostruire percorsi di attacco complessi a velocità macchina. Tra gli esempi citati figura Claude Mythos, modello utilizzato da AWS per rappresentare una nuova generazione di strumenti capaci di accelerare drasticamente le attività di analisi della sicurezza. Questa evoluzione, tuttavia, sta producendo un effetto collaterale inatteso: il numero di vulnerabilità identificate cresce più rapidamente della capacità delle organizzazioni di valutarle e correggerle. Continuum nasce per intervenire proprio in questa fase, considerata da AWS il principale collo di bottiglia dei programmi di sicurezza moderni.
Sicurezza lungo l’intero ciclo di vita del software
L’ambizione della piattaforma non si limita agli ambienti in produzione. Continuum è stato progettato per operare lungo l’intero ciclo di vita del software, individuando rischi nelle fasi di progettazione, sviluppo, test e rilascio, oltre a gestire le vulnerabilità presenti nei sistemi già in esercizio.
La piattaforma combina attività di threat modeling, code scanning, penetration testing e vulnerability management all’interno di un flusso operativo unificato che accompagna il software dalla fase di design fino alla manutenzione in produzione. L’obiettivo è intercettare le vulnerabilità il prima possibile, riducendo il costo delle correzioni e limitando l’accumulo di debito tecnico e debito di sicurezza.
Una rappresentazione del rischio costruita sul contesto aziendale
A differenza dei tradizionali strumenti di vulnerability management, che classificano le esposizioni principalmente attraverso punteggi CVSS e metriche standardizzate, Continuum costruisce una rappresentazione contestuale dell’ambiente aziendale utilizzando una combinazione di dati strutturati e non strutturati.
Nel modello sviluppato da AWS confluiscono informazioni provenienti dall’infrastruttura cloud, dalle configurazioni di rete, dai sistemi di identità e access management, dalle topologie applicative, dal codice sorgente, dalle dipendenze software e dagli asset distribuiti negli ambienti di produzione. A queste vengono affiancati documenti tecnici, specifiche progettuali, comunicazioni interne e informazioni che descrivono priorità operative e obiettivi di business.
Il risultato è una valutazione del rischio che non dipende esclusivamente dalla gravità teorica di una vulnerabilità ma dalla sua rilevanza concreta all’interno dell’organizzazione. Una falla classificata come critica può infatti avere un impatto limitato se presente in un sistema isolato o inutilizzato, mentre una vulnerabilità meno severa può diventare prioritaria se interessa un servizio esposto a Internet che gestisce processi aziendali essenziali.
Questa capacità di correlare informazioni tecnologiche e contesto operativo deriva direttamente dall’esperienza maturata da AWS nella gestione della sicurezza delle infrastrutture Amazon e dei servizi cloud utilizzati da organizzazioni appartenenti a settori differenti.
Discovery, prioritizzazione, validazione e remediation
La prima implementazione della piattaforma, AWS Continuum for Code Vulnerabilities, disponibile in gated preview, è stata progettata per coprire l’intero ciclo di vita delle vulnerabilità software.
Il processo inizia con l’acquisizione delle segnalazioni provenienti dagli strumenti già utilizzati dall’organizzazione e con l’esecuzione di ulteriori attività di scansione. L’obiettivo è costruire una vista unificata delle vulnerabilità presenti e dei possibili percorsi di attacco che possono interessare applicazioni, infrastrutture e componenti software.
Su questa base interviene il motore di prioritizzazione, che analizza ogni esposizione verificando se il componente interessato sia effettivamente distribuito, se sia raggiungibile, se faccia parte di flussi produttivi e quale impatto potrebbe avere una compromissione. Il risultato non è una semplice graduatoria ordinata per severità tecnica, ma una classificazione costruita attorno alle conseguenze operative e di business.
Vulnerabilità dimostrate attraverso exploit reali
La validazione affronta uno dei problemi più noti della sicurezza applicativa: l’elevata quantità di falsi positivi prodotti dagli scanner automatici.
Invece di limitarsi a segnalare una potenziale vulnerabilità, Continuum verifica l’esposizione nel contesto reale dell’ambiente in cui è stata individuata e genera esempi funzionanti di exploit all’interno di ambienti sandbox isolati. L’obiettivo è produrre prove concrete e riproducibili della sfruttabilità del problema, eliminando il tempo normalmente dedicato dagli specialisti alla verifica manuale delle segnalazioni.
Questo approccio permette di distinguere le vulnerabilità realmente sfruttabili da quelle che, pur essendo teoricamente presenti, non possono essere utilizzate come vettore di attacco nelle condizioni operative esistenti.
La generazione di evidenze riproducibili rappresenta uno degli elementi che differenziano maggiormente Continuum rispetto agli strumenti tradizionali di vulnerability assessment, spesso limitati alla sola individuazione del problema.
Correzioni validate e mitigazioni reversibili
Una volta confermata la vulnerabilità, il sistema analizza le difese già presenti nell’ambiente, inclusi controlli compensativi, meccanismi di rilevazione, policy di sicurezza e strumenti di protezione che potrebbero ridurne l’impatto.
Sulla base di questa analisi vengono generate proposte di intervento che possono assumere forme differenti: modifiche alla configurazione della rete, aggiornamenti delle policy di accesso, introduzione di controlli aggiuntivi o patch applicative. Le correzioni vengono successivamente sottoposte agli stessi processi di validazione utilizzati per dimostrare la vulnerabilità originaria, consentendo di verificare l’effettiva efficacia della soluzione prima della distribuzione.
La piattaforma fornisce inoltre visibilità sul possibile blast radius delle modifiche suggerite, evidenziando sistemi, applicazioni e servizi che potrebbero essere interessati dagli interventi. Quando possibile vengono predisposti anche percorsi di rollback che consentono di ripristinare rapidamente la configurazione precedente in caso di effetti indesiderati.
L’obiettivo dichiarato è ridurre la dipendenza da lunghe attività di coordinamento tra team differenti e accelerare il passaggio dalla scoperta della vulnerabilità alla sua effettiva risoluzione.
Un’architettura indipendente dal modello AI utilizzato
Continuum è stato progettato secondo un approccio model agnostic. Invece di fare affidamento su un singolo modello di intelligenza artificiale, la piattaforma utilizza diversi frontier models selezionando quello più adatto per ogni attività.
Alcuni modelli possono risultare più efficaci nell’analisi del codice, altri nella comprensione della documentazione aziendale, altri ancora nella generazione di exploit o nella produzione di remediation. Questa architettura consente ad AWS di integrare rapidamente nuovi modelli man mano che diventano disponibili, senza vincolare l’evoluzione della piattaforma a una tecnologia specifica.
La scelta riflette la convinzione che il ritmo di innovazione nel campo dell’intelligenza artificiale sia destinato a rimanere elevato e che le piattaforme di sicurezza debbano poter incorporare rapidamente le capacità emergenti.
Dalla supervisione umana all’automazione progressiva
AWS ha dedicato particolare attenzione al tema della fiducia operativa.
Continuum viene inizialmente eseguito in una modalità definita learn mode, nella quale ogni raccomandazione viene sottoposta alla valutazione di un operatore umano e accompagnata dalla spiegazione del ragionamento che ha portato alla decisione. Questa fase consente ai team di sicurezza di verificare la qualità delle analisi e comprendere il comportamento del sistema prima di delegargli attività operative.
Con il passare del tempo le organizzazioni possono estendere gradualmente il livello di autonomia passando alla modalità enforce mode, autorizzando il sistema a eseguire automaticamente determinate categorie di interventi.
L’automazione non viene quindi introdotta come un meccanismo binario ma come un processo progressivo governato attraverso policy, categorie di rischio e guardrail definiti dall’organizzazione. I clienti mantengono la possibilità di stabilire quali operazioni possano essere eseguite autonomamente e quali richiedano sempre l’approvazione umana.
Security Agent confluisce in Continuum
Il lancio della nuova piattaforma coincide con una riorganizzazione delle funzionalità precedentemente sviluppate all’interno di AWS Security Agent.
Le capacità di penetration testing e code scanning vengono integrate rispettivamente come Continuum Penetration Testing e Continuum Code Scanning, entrambe disponibili in preview. Questi strumenti alimentano il ciclo di discovery, prioritizzazione, validazione e remediation che costituisce il nucleo operativo della piattaforma.
Alla stessa famiglia appartiene anche Continuum Threat Modeling, una nuova funzionalità disponibile in anteprima che genera automaticamente modelli di minaccia a partire da documentazione progettuale o codice sorgente.
L’output viene prodotto nel formato STRIDE, framework utilizzato per classificare minacce legate a spoofing, tampering, repudiation, information disclosure, denial of service ed elevation of privilege.
STRIDE, framework sviluppato da Microsoft e ampiamente utilizzato nelle attività di threat modeling, classifica le minacce in sei categorie: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service ed Elevation of Privilege. La generazione automatica di modelli STRIDE a partire da documentazione progettuale o codice sorgente consente di individuare potenziali debolezze architetturali nelle prime fasi dello sviluppo, quando le correzioni risultano generalmente meno costose e meno invasive rispetto agli interventi effettuati dopo il rilascio delle applicazioni.
L’automazione di queste attività punta a individuare potenziali problemi architetturali già durante le fasi iniziali di progettazione, riducendo la necessità di interventi correttivi successivi.
Integrazione con l’ecosistema AWS e primi partner
Continuum opera insieme agli strumenti di sicurezza già presenti nell’ecosistema AWS, tra cui Amazon GuardDuty e AWS Security Hub, utilizzandone i dati come sorgenti informative all’interno del proprio processo decisionale.
La piattaforma non sostituisce quindi le tecnologie esistenti ma aggiunge un livello superiore di contestualizzazione, ragionamento e automazione delle azioni correttive.
Lo sviluppo della soluzione coinvolge già alcune organizzazioni selezionate che partecipano al programma di design partnership. Tra queste figurano Capital One, MongoDB, Rivian e Robinhood, mentre i primi test stanno interessando aziende dei settori finanziario, automotive e tecnologico.
Con Continuum, AWS prova a trasferire nella cybersecurity il paradigma degli agenti AI autonomi che sta emergendo in numerosi altri ambiti dell’IT. La differenza rispetto agli approcci tradizionali non risiede nella capacità di individuare un numero maggiore di vulnerabilità, ma nella possibilità di trasformare automaticamente quelle informazioni in decisioni operative, verifiche tecniche e interventi correttivi proposti, validati e, nei casi autorizzati dall’organizzazione, eseguiti alla stessa velocità con cui i rischi vengono scoperti.
