AWS ha annunciato un nuovo servizio chiamato Continuum, concepito per aiutare gli sviluppatori e i team di sicurezza a garantire la sicurezza del proprio codice o di codice di terze parti. Il servizio mira ad automatizzare le misure correttive attraverso funzionalità come i test di intrusione e l'analisi del codice.

I vantaggi dell’intelligenza artificiale nello sviluppo del software sono ormai ampiamente riconosciuti, tuttavia assicurarsi che questi software siano sicuri prima del loro rilascio è un problema ancora aperto. Secondo AWS, l’IA dovrebbe intervenire anche in questa fase critica.

Con l'aumento degli ambienti di sviluppo automatizzati, il volume di codice proprietario generato o modificato dalle aziende cresce rapidamente. Verificare le vulnerabilità, determinare la loro reale pericolosità e correggerle rimane però un processo spesso manuale, svolto da sviluppatori e team di sicurezza. AWS ha riconosciuto questa discrepanza e ha risposto con Continuum.

Continuum: Un servizio per la gestione automatica delle vulnerabilità

Continuum è un servizio in grado di rilevare, analizzare e correggere in modo continuo le vulnerabilità, indipendentemente dal fatto che il codice coinvolto sia di proprietà dell’azienda o di terzi. Non si limita a generare allerte, ma accompagna le imprese lungo l’intero ciclo di gestione delle vulnerabilità, da quando vengono individuate fino alla loro risoluzione.

Ogni volta che Continuum analizza un’applicazione proprietaria, esegue un controllo del codice, valuta se le vulnerabilità rilevate sono effettivamente sfruttabili e fornisce linee guida per la correzione, proponendo soluzioni che possono essere integrate nei flussi di sviluppo esistenti.

Una volta che l’utente ritiene che Continuum conosca a sufficienza l’ambiente aziendale e abbia compreso i limiti operativi, il sistema può essere attivato in un “modo applicativo” per correggere autonomamente vulnerabilità nel codice.

Caratteristiche e nuove funzioni di Continuum

Continuum eredita alcune funzioni dal già esistente Security Agent di AWS, come i test intrusione e l’analisi del codice. Altre funzioni sono completamente nuove, ad esempio la modellazione delle minacce. Questa funzione genera modelli di minaccia direttamente dal codice sorgente o da documenti di design, esportandoli nel formato STRIDE.

Le analisi generate possono rappresentare un passo avanti significativo per identificare automaticamente le minacce potenziali, soprattutto quando si tratta di applicazioni complesse o con molteplici dipendenze.

La risposta al codice sostenuto dall’IA

Con l’aumento degli strumenti basati sull’IA per lo sviluppo del software, il bisogno di un sistema altrettanto avanzato per garantire la sicurezza cresce esponenzialmente. Secondo Chet Kapoor, vicepresidente di AWS per la sicurezza e l’osservabilità, Continuum mira a rispondere a questa evoluzione.

Il principale problema non sta più soltanto nel rilevare le vulnerabilità, bensì nell’identificare quali siano reali, in che modo potrebbero impattare sull’ambiente di un’azienda e in quali vadano priorizzate. Lavorare con i tradizionali dashboard e metodi manuale per la verifica non è né efficiente né sostenibile nel volume di informazioni che oggi esiste. Continuum cerca di automatizzare e accelerare questi processi grazie all’uso di IA.

Il CEO di HFS Research, Akshat Tyagi, ha evidenziato che Continuum aggiunge valore non solo per la capacità di rilevamento, ma soprattutto per l’applicazione dell’intelligenza artificiale nell’ordinare, priorizzare e proporre rimedi, consentendo agli umani di mantenere il controllo su decisioni ad alto rischio.

Un impatto anche sui ruoli professionali

Man mano che l'automatizzazione entra nel ciclo di sviluppo, ruoli come quello dei Chief Information Security Officers (CISO, o Responsabili della Sicurezza Informatica) devono evolversi. I CISO non si limitano più a gestire le vulnerabilità ma a fissare regole precise su quando e come possono essere gestite in modo automatizzato.

Secondo Amit Chandak, direttore di ricerca presso Kanerika, il cambiamento comporta nuove responsabilità gestionali per le figure di leadership. Gli esperti dovranno garantire la supervisione, la governance e il controllo sugli interventi automatizzati, nonché verificare i risultati delle correzioni generate dal sistema.

I CISO devono anche considerare di come valutare il proprio lavoro. Il numero di segnalazioni diventa meno rilevante: metriche più significative includono il tempo per correggere rischi veri, il numero di falsi positivi rimosso e l’efficacia dell’automazione nel ridurre i rischi senza creare nuove minacce.

Esempi e benefici per aziende

    • Analisi delle dipendenze di codice: Continuum permette di tracciare con precisione le dipendenze del software, risolvendo il problema comune di falsi allarmi.
    • Correzione automatica: Una volta attivato, il sistema può modificare autonomamente il codice vulnerabile, riducendo notevolmente l'effort manuale.
    • Modellazione delle minacce: Genera automaticamente modelli di sicurezza utili per l'approfondimento e la documentazione.

Vulnerabilità nel codice di terzi: un problema complesso

Le vulnerabilità nei codici di terzi rappresentano un’altra area critica, dove molte aziende hanno una percezione limitata. Spesso, il codice terzo segnala solo un “rumore” potenzialmente falso. Continuum potrebbe aiutare a individuare solo quelle vulnerabilità che sono effettivamente utilizzate e critiche, focalizzando così l’azione sugli elementi chiave.

Inoltre, il servizio potrebbe aiutare anche quando non esiste ancora un fix disponibile per il codice vulnerabile. Tuttavia, Chandak ha chiarito che non basta rilevare e correggere; nel codice di terzi, i correttivi spesso richiederanno un blocco della versione o l’implementazione di controlli compensativi, dato che i proprietari non sono sempre direttamente responsabili della correzione.

Considerazioni finali

Continuum rappresenta una significativa evoluzione per la sicurezza del codice software, sostenuta da intelligenza artificiale e automatizzata. Nonostante non si attenderà un immediato impatto sulle assunzioni o su una riduzione del lavoro manuale, questo servizio offre chiaramente un vantaggio strategico per il futuro del settore IT.

Man mano che le capacità di Continuum si diffonderanno, il modo in cui le aziende valuteranno la sicurezza, la corretta gestione e persino il ruolo delle figure di leadership subirà un impatto profondo, aprendo nuove opportunità tecnologiche ma anche sfide di responsabilità e governance. AWS, con la sua visione di una sicurezza graduale (dalla completa partecipazione umana all'automa total), dimostra di comprendere e rispond