Il report Ivanti 2025 State of Cybersecurity ha rivelato che solo 1 organizzazione su 3 si sente pronta a proteggersi dalle minacce alla supply chain del software. Poiché gli autori degli attacchi prendono sempre più di mira le dipendenze di terze parti, gli attacchi alla supply chain possono diventare un doloroso tallone d'Achille per la cybersecurity se le organizzazioni continueranno a sottovalutarli.



Il rischio crescente degli attacchi alla supply chain del software

Le superfici di attacco si stanno ampliando rapidamente e le supply chain del software delle organizzazioni sono uno dei principali vettori di questa espansione. Le imprese moderne si affidano a numerose applicazioni software, strumenti e dipendenze all'interno della propria infrastruttura tecnologica. Secondo un report 2024 di BetterCloud, una singola organizzazione utilizza in media 112 applicazioni SaaS. E questa rete diventa sempre più complessa. In media, ogni applicazione software ha 150 dipendenze — il 90% delle quali sono dipendenze indirette — responsabili della grande maggioranza delle vulnerabilità.

Il numero di autori delle minacce che prendono di mira le dipendenze di terze parti è aumentato rapidamente negli ultimi anni, con il 75% di tutte le supply chain del software che ha segnalato attacchi nel 2024. Anche le minacce alla supply chain del software sono diventate più sofisticate, poiché gli autori degli attacchi cercano qualsiasi debolezza da sfruttare nel codice di un fornitore. Tuttavia, i team di sicurezza spesso faticano a verificare correttamente tutti i componenti software.



La ricerca sulla cybersecurity di Ivanti ha rilevato che, sebbene l'84% dei leader aziendali dichiari che monitorare la supply chain del software sia “molto importante”, quasi la metà (48%) non ha ancora identificato i componenti più vulnerabili della propria supply chain. Questa mancanza di due diligence espone le aziende a notevoli rischi finanziari e reputazionali.

Tipi comuni di attacchi alla supply chain del software

Secondo Gartner, entro il 2025 il 45% delle organizzazioni avrà subito un attacco alla supply chain del software. Ecco una breve panoramica di alcune delle tipologie più comuni di vulnerabilità della supply chain del software prese di mira dagli autori degli attacchi:

  • Gli attacchi ai server upstream sono gli attacchi alla supply chain più comuni. Si verificano quando gli hacker compromettono un sistema posizionato “upstream” rispetto agli utenti, ad esempio un repository di codice, e iniettano un payload dannoso / malware. Questo payload si diffonde poi agli utenti “downstream” tramite elementi come un aggiornamento software.
  • Gli attacchi midstream indicano incidenti in cui gli autori degli attacchi compromettono sistemi intermedi, come strumenti di sviluppo software, anziché la codebase originale.
  • Gli attacchi di dependency confusion tentano di indurre uno sviluppatore o un sistema a scaricare una dipendenza software compromessa da una fonte esterna. Tra i metodi di attacco comuni vi è l'uso, per il caricamento di software dannoso, di un nome simile a quello di una libreria interna attendibile. La versione dannosa viene spesso integrata nella build del software al posto della dipendenza legittima.
  • Gli attacchi ai certificati di firma del codice si verificano quando gli hacker iniettano software dannoso nei certificati digitali di firma del codice destinati a verificare la sicurezza e l'autenticità del software. Questi attacchi avvengono quando gli autori delle minacce compromettono l'ambiente di sviluppo tramite social engineering o un'altra tattica.
  • Gli attacchi all'infrastruttura CI/CD prendono di mira le pipeline di sviluppo automatizzate introducendo malware, ad esempio clonando repository GitHub autentici per finalità dannose.

Esempi recenti di attacchi alla supply chain

Non serve cercare a lungo nelle notizie per trovare esempi reali di questi tipi di attacchi arrivati a un punto critico. Ecco alcuni incidenti di attacchi alla supply chain degli ultimi anni che hanno attirato l'attenzione globale.

  1. Attacco di social engineering a Okta

    •  Nell'ottobre 2023, Okta, fornitore di servizi di gestione delle identità e degli accessi, ha subito una grave violazione dei dati del proprio sistema di assistenza clienti dopo che quattro diversi clienti Okta sono stati vittime di attacchi di social engineering rivolti al loro service desk IT. Gli autori degli attacchi hanno utilizzato queste credenziali amministrative per lanciare molteplici attacchi downstream, causando accessi non autorizzati ai dati di migliaia di clienti Okta, tra cui 1Password, BeyondTrust e Cloudflare.
  2. Attacco ransomware a Kaseya

    • In questo caso del luglio 2021, gli hacker hanno sfruttato sei vulnerabilità zero-day nello strumento di gestione remota di Kaseya e hanno utilizzato queste vulnerabilità per distribuire un payload ransomware dannoso tramite un aggiornamento software che ha infettato centinaia di managed service provider (MSP) e i loro clienti. L'attacco ha bloccato le attività di quasi 2.000 aziende in tutto il mondo ed è finito sui titoli dei giornali quando gli autori degli attacchi hanno richiesto l'enorme riscatto di 70 milioni di dollari (che alla fine non è stato pagato).
  3. Attacco CI/CD a Codecov

    • Nel gennaio 2021, attori malevoli si sono infiltrati nel popolare strumento di test del codice Codecov, che all'epoca era utilizzato da oltre 29.000 clienti. Gli autori degli attacchi hanno ottenuto accesso non autorizzato allo script Bash Uploader di Codecov e hanno introdotto codice dannoso, poi utilizzato dai clienti Codecov nelle loro pipeline CI/CD. Codecov non ha rilevato né segnalato l'attacco fino ad aprile 2021: ciò significa che questi attori malevoli potrebbero aver avuto accesso per mesi a dati sensibili in migliaia di sistemi dei clienti.
    • Ognuna di queste violazioni della supply chain ha causato danni a cascata e di ampia portata sia al provider sfruttato, sia alle sue migliaia di clienti e oltre.  

Impatti gravi degli attacchi alla supply chain

La portata dei danni derivanti dagli attacchi alla supply chain del software non può essere sottovalutata. Ognuno degli attacchi citati ha provocato danni finanziari e reputazionali significativi e ha spinto molte organizzazioni a riconsiderare il proprio approccio alla sicurezza dei fornitori.

Impatti finanziari

Cybersecurity Ventures prevede che il costo annuo globale degli attacchi alla supply chain del software per le aziende raggiungerà l'impressionante cifra di 138 miliardi di dollari entro il 2031, rispetto ai 60 miliardi del 2025. Queste perdite includono tutto: mancati ricavi, costi di remediation, spese legali e potenziali sanzioni per non conformità. In seguito alla violazione dei dati del 2023, le azioni Okta sono scese dell'11%. Dopo un'altra importante violazione dei dati nel 2022, Okta è stata poi colpita da una causa intentata dagli azionisti interessati ed è stata tenuta a pagare 60 milioni di dollari.

Impatti operativi

Gli attacchi alla supply chain possono causare interruzioni e arresti dei sistemi per migliaia di clienti, bloccando operazioni critiche e provocando ritardi che incidono ulteriormente su altri fornitori. Consideriamo solo alcune delle istituzioni colpite dalla violazione di Kaseya. In Svezia, un grande rivenditore alimentare è stato costretto a chiudere 800 negozi durante il fine settimana, e anche le ferrovie statali hanno subito interruzioni. Undici scuole e oltre 100 asili in Nuova Zelanda hanno inoltre dovuto interrompere tutte le attività online, ricorrendo a carta e penna fino alla risoluzione dell'incidente.

Danno reputazionale

Una reputazione compromessa pubblicamente può far arretrare un'azienda in termini di fiducia da parte di clienti e azionisti. Le imprese possono perdere fornitori e una fidelizzazione dei clienti costruita in anni. Nel marzo 2023, il popolare software di comunicazione aziendale 3CX è stato compromesso quando gli hacker hanno iniettato codice dannoso nella sua applicazione, esponendo potenzialmente i dati sensibili di oltre 600.000 clienti e causando all'azienda mesi di attenzione mediatica negativa e reazioni pubbliche critiche.

Dove si ferma la responsabilità? Debito tecnico e responsabilità condivisa

Con minacce alla supply chain del software destinate ad aumentare in frequenza e gravità, per le imprese è indispensabile definire responsabilità chiare e attenersi a rigorose best practice di sicurezza per i fornitori terzi e per la cybersecurity della supply chain del software.

A chi spetta la sicurezza del software? 

Attualmente, molte organizzazioni non dispongono di processi rigorosi e standardizzati per valutare la sicurezza dei fornitori terzi. Inoltre, molti clienti e fornitori non sono nemmeno allineati su chi sia responsabile della gestione della sicurezza del software di terze parti.



Il Report State of Cybersecurity Trends ha analizzato organizzazioni con diversi livelli di capacità di cybersecurity per sviluppare la nostra Cybersecurity Maturity Scale. Questa scala va dalle organizzazioni meno mature (livelli 1 e 2) a quelle con capacità di cybersecurity più avanzate (livello 4).

Attraverso questa ricerca abbiamo rilevato che le organizzazioni meno mature ritenevano più spesso che la cybersecurity fosse esclusivamente responsabilità del fornitore. Al contrario, quelle con i livelli più elevati di preparazione in materia di cybersecurity sostenevano una responsabilità condivisa tra fornitore del software e cliente.

Come proteggersi dalle minacce alla supply chain del software

La sicurezza della supply chain del software è una parte essenziale di una strategia di cybersecurity completa e proattiva.

Rafforzare la supply chain del software e difendersi da potenziali attacchi richiede alle organizzazioni di trattare tutti i fornitori e i componenti di terze parti come un'estensione dell'intera superficie di attacco. Ecco le nostre principali raccomandazioni per aiutare le organizzazioni a prepararsi meglio a prevenire gli attacchi alla supply chain, oltre che a rilevare e rispondere a eventuali minacce alla supply chain. 

1. Gestione rigorosa dei fornitori e valutazione del rischio

Eseguite la due diligence prima di collaborare con fornitori di software. Cercate fornitori conformi agli standard di settore e dotati di una policy di divulgazione delle vulnerabilità pubblicata. Audit periodici, revisioni del codice e valutazioni proattive da parte sia del fornitore sia del cliente sono fondamentali per mitigare i rischi.

La nostra ricerca mostra che le organizzazioni con i livelli più avanzati di cybersecurity sono più propense a eseguire la due diligence nella valutazione della cybersecurity dei fornitori terzi, ad esempio:

  • Integrare questionari di valutazione della sicurezza (SAQ) nella valutazione. 
  • Prendere in considerazione le certificazioni di sicurezza dei fornitori, come ISO 27001 e SOC 2. 
  • Esaminare gli standard di conformità specifici del settore. 
  • Assicurarsi che i fornitori dispongano di piani e processi di risposta agli incidenti per gestire potenziali violazioni della sicurezza. 
  • Richiedere una Software Bill of Materials (SBOM) per comprendere i componenti open source e di terze parti utilizzati nel loro software.


2. Monitoraggio continuo e remediation proattiva su tutte le dipendenze

È fondamentale utilizzare strumenti e processi automatizzati di rilevamento delle minacce per monitorare e valutare tutti i componenti software. Le dipendenze, in particolare nei componenti software open source, vengono spesso trascurate e rappresentano un importante rischio di vulnerabilità se non vengono monitorate e aggiornate regolarmente.

Gli strumenti di AI e automazione possono fornire insight in tempo reale sulle prestazioni di dispositivi, applicazioni e reti per rilevare potenziali problemi. Le soluzioni di self-healing e remediation automatizzata offrono modalità efficaci per risolvere i problemi con un intervento umano minimo o nullo.

3. Comunicazione regolare con i fornitori terzi

Un elemento fondamentale per stabilire una responsabilità reciproca nella sicurezza della supply chain del software è una comunicazione frequente e aperta tra clienti e fornitori terzi. I team di sicurezza e IT devono rimanere informati su eventuali aggiornamenti software, patch per correggere vulnerabilità note e minacce alla sicurezza emergenti.

Scoprite di più sulla sicurezza della supply chain del software

Volete saperne di più? Leggete il Report State of Cybersecurity Trends completo per ottenere insight approfonditi sulle minacce di cybersecurity più urgenti di oggi e sulle strategie per una gestione proattiva del rischio.