Con l’annuncio del nuovo AWS Security Hub durante il keynote di apertura di re:Inforce 2025 a Philadelphia, Amy Herzog ha segnato una svolta nella strategia di sicurezza cloud del colosso di Seattle. Il servizio, nato come punto centrale per aggregare alert e informazioni di conformità, evolve oggi in una piattaforma intelligente, contestualizzata e pienamente integrata con le capability di sicurezza di AWS. L’obiettivo è duplice: aumentare la visibilità e ridurre il tempo di reazione, rendendo possibile una gestione della sicurezza più agile, coerente e scalabile per ambienti enterprise multi-account e multi-regione.
Il messaggio chiave di Herzog è chiaro: “È tempo di agire, più che di rilevare”. In un contesto cloud in cui la velocità delle minacce cresce esponenzialmente, Security Hub diventa lo snodo centrale per prioritizzare i rischi reali, grazie a segnali arricchiti e correlati provenienti da fonti disparate. Il nuovo Hub promette di trasformare la complessità della sicurezza distribuita in un flusso operativo semplificato e automatizzato.
Un centro operativo intelligente e collaborativo
Il nuovo AWS Security Hub integra nativamente le principali soluzioni di sicurezza AWS: Amazon GuardDuty (minacce), Amazon Inspector (vulnerabilità), AWS CSPM (postura di sicurezza) e Amazon Macie (dati sensibili). Questo consente di passare da una gestione a silos a una visione olistica e unificata, in cui le segnalazioni non sono più trattate come entità isolate, ma come elementi di un contesto più ampio e significativo.
Il vantaggio non è solo tecnico, ma anche operativo: i team SecOps possono intervenire direttamente sulle risorse impattate, assegnare ticket, analizzare configurazioni, e visualizzare i percorsi d’attacco — tutto senza lasciare la console di Security Hub. L’integrazione con strumenti di terze parti tramite API e il supporto al framework OCSF (Open Cybersecurity Schema Framework) assicurano anche interoperabilità e normalizzazione dei dati, rendendo il servizio adatto a essere il fulcro di strategie SIEM/SOAR evolute.
Dashboard ridefinite: visibilità e priorità al primo posto
Una delle innovazioni più evidenti del nuovo Security Hub è la dashboard completamente riprogettata, pensata per fornire una lettura immediata e intelligente dello stato di sicurezza. Le segnalazioni sono ora organizzate in cinque sezioni principali (visibili nella colonna di sinistra nell’immagine)
- Exposure: evidenzia configurazioni errate o vulnerabilità che espongono risorse AWS a rischi di accesso non autorizzato.
- Threats: aggrega le minacce rilevate da GuardDuty, inclusi attacchi complessi e anomalie comportamentali.
- Vulnerabilities: cataloga le falle software e i problemi di configurazione rilevati da Inspector.
- Posture management: valuta l’aderenza a best practice e standard di sicurezza (CSPM).
- Sensitive data: segnala dati personali o riservati identificati da Macie.
Questa suddivisione consente di identificare, isolare e agire rapidamente sulle criticità, riducendo i tempi di triage e migliorando l’efficienza del team.
Analisi delle esposizioni e percorsi di attacco visuali
La sezione Exposure rappresenta uno dei punti di maggiore innovazione. Oltre a raggruppare automaticamente le esposizioni simili per titolo e severità, Security Hub introduce una visualizzazione avanzata dei percorsi di attacco. Questo consente di tracciare graficamente — e in tempo reale — il cammino potenziale che una minaccia può seguire per compromettere una risorsa.
L’analisi tiene conto di tutti i componenti di rete coinvolti, come VPC, subnet, security group, NACL, e bilanciatori di carico, così come dei legami IAM che potrebbero portare a escalation di privilegi o data exfiltration. I tratti contribuenti sono evidenziati per facilitare l’individuazione del rischio primario, e la possibilità di accedere alla configurazione dettagliata della risorsa semplifica ulteriormente la pianificazione della remediation.
Workflow operativo integrato e ticketing diretto
Uno degli aspetti più apprezzabili dai team DevSecOps riguarda l’integrazione operativa. Ogni finding può essere trasformato in un ticket con un clic, sfruttando integrazioni native con sistemi come Jira. Questo significa che l’azione può essere assegnata al team responsabile direttamente nell’ambiente in cui lavora, evitando cambi di contesto o duplicazioni manuali.
Inoltre, grazie alla nuova vista Resources, è possibile ottenere un inventario centralizzato e filtrabile delle risorse AWS con findings attivi, semplificando indagini forensi, analisi post-incidenti e monitoraggio continuo. L’interfaccia consente anche di cercare pattern ricorrenti: ad esempio, è possibile interrogare la console per individuare tutti gli EC2 con lo stesso tipo di esposizione rilevata altrove, abilitando azioni preventive in tempo reale.
Copertura e resilienza: strumenti per evitare il peggio
Security Hub non si limita a rilevare i problemi, ma aiuta a costruire un’architettura resiliente e una cultura della preparazione. Il nuovo widget Security Coverage fornisce una mappa della copertura di sicurezza, indicando dove le capability (come GuardDuty o Macie) non sono ancora attive su specifici account o regioni. Questo supporta il miglioramento continuo della postura globale.
Durante il keynote, Herzog ha illustrato un caso concreto: un’importante istituzione finanziaria ha rilevato chiamate API anomale nei sistemi di pagamento. Grazie alla visibilità tempestiva e alla preparazione operativa, il team ha isolato i sistemi compromessi e attivato processi alternativi, garantendo continuità operativa. Un potenziale incidente critico si è trasformato in un semplice disguido tecnico, quasi invisibile agli utenti finali.
Disponibilità e costi
Il nuovo Security Hub è ora in preview gratuita in oltre 20 regioni AWS, inclusa Milano. Durante questo periodo, non sono previsti costi aggiuntivi per l’uso della console, ma restano attivi i costi delle capability integrate, come GuardDuty o Macie.
