Supply Chain SaaS: la nuova frontiera delle compromissioni aziendali

Le compromissioni della supply chain SaaS sfruttano integrazioni e autorizzazioni attive. Ecco sono un rischio serio per le aziende.

Negli ultimi anni le aziende hanno imparato a difendersi dagli attacchi diretti, come phishing, ransomware e vulnerabilità esposte. Hanno investito in firewall, EDR, formazione interna, eppure non è sufficiente. Questo perché molte delle compromissioni più gravi non partono più da una falla interna, ma da un fornitore esterno perfettamente integrato nei sistemi aziendali. Il punto debole, quindi, non è dentro il perimetro, ma nelle connessioni.

Dalla supply chain tradizionale alla supply chain SaaS
Come funziona una compromissione SaaS
Impatto per aziende e responsabilità per il management

Il modello Software-as-a-Service (SaaS) ha trasformato il modo in cui le imprese lavorano, permettendo a tutti gli strumenti principali di vivere nel cloud ed è collegato tramite API e meccanismi di autenticazione. Ma se un fornitore SaaS viene compromesso, l’attacco si propaga verso decine o centinaia di clienti che hanno concesso accessi di alto livello ai propri dati e ai propri ambienti.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Dalla supply chain tradizionale alla supply chain SaaS

Per anni il concetto di supply chain in ambito cyber ha riguardato principalmente hardware e software forniti da terze parti. Componenti vulnerabili, librerie open source compromesse e aggiornamenti malevoli distribuiti tramite canali ufficiali. L’azienda subiva l’attacco perché utilizzava un prodotto già compromesso a monte. Il caso SolarWinds del dicembre 2020 ha dimostrato come la compromissione del software Orion abbia portato alla distribuzione della backdoor Sunburst a circa 18.000 organizzazioni nel mondo.

Con l’adozione in massa del cloud il modello è cambiato radicalmente. Infatti, si è passati dall’acquisto di un singolo prodotto, all’usufruire di un servizio in abbonamento perennemente connesso ai sistemi interni dei produttori. Le piattaforme SaaS dialogano con directory aziendali, caselle di posta, archivi documentali e strumenti finanziari tramite API e meccanismi di delega dell’accesso. In questo modo, il fornitore conserva un canale attivo dentro l’infrastruttura del cliente.

Com’è facile intuire, questo cambiamento cambia il profilo del rischio. Nella supply chain tradizionale la compromissione era legata a una minaccia che veniva distribuita appositamente. Ma nel contesto SaaS il punto di violazione è la relazione tecnica tra organizzazioni diverse, basata su credenziali, token e autorizzazioni persistenti. L’integrazione è continua e spesso invisibile agli utenti finali, elemento che rende le compromissioni più difficili da individuare.

Come funziona una compromissione SaaS

Una compromissione della supply chain SaaS può partire sia dal fornitore, che dal cliente. Il meccanismo alla sua base è lo stesso, in quanto l’attaccante cerca di ottenere l’accesso a un account con privilegi elevati, a una chiave API o a un token OAuth valido. Questo si realizza non necessariamente tramite lo sfruttamento di vulnerabilità note, ma attraverso credenziali sottratte da un infostealer, o coinvolte in un breach precedente. Quando l’attaccante riesce a ottenere l’accesso, il sistema non applica alcun blocco, in quanto questo è riconosciuto come legittimo.

Una volta all’interno, l’attaccante analizza l’integrazione SaaS nel sistema bersaglio. Se questo dispone di permessi di lettura e scrittura su caselle di posta, archivi o repository, allora il suo attacco è rivolto a questi. Per esercitare persistenza nel sistema, il cybercriminale crea nuovi token e configura autorizzazioni aggiuntive. Tutto questo risulta pressoché invisibile ai sistemi di monitoraggio, in quanto l’attacco si confonde con il traffico operativo ordinario.

La fase successiva è raggiungere i dati sensibili e, laddove possibile, manipolare anche i flussi finanziari. Molto spesso l’attaccante installa una backdoor, in modo da sfruttarla per futuri attacchi, condotti attraverso ransomware. Com’è facile dedurre, l’impatto non deriva unicamente dall’accesso iniziale, ma dalla privilege escalation che il cybercriminale realizza una volta all’interno del sistema.

Impatto per aziende e responsabilità per il management

Poiché l’accesso non autorizzato colpisce direttamente i dati sensibili di un’azienda e dei clienti a essa collegati, i danni derivanti sono più seri di quanto si possa pensare. L’attaccante colpisce direttamente i servizi essenziali al funzionamento di un’organizzazione. In questo modo, i dati sensibili di clienti, fornitori e dipendenti finiscono inesorabilmente esposti. Nei casi peggiori si arriva anche all’alterazione diretta delle richieste di pagamento. Un attaccante può autorizzare un bonifico verso un conto personale, camuffandolo da richiesta aziendale verso un partner commerciale, senza provocare allerte.

Quando ciò avviene, la responsabilità ricade direttamente sul fornitore. Con l’entrata in vigore della direttiva NIS2 nel 2024, le organizzazioni soggette devono valutare e monitorare il rischio legato ai propri fornitori ICT. Per il settore finanziario, il regolamento DORA applicabile dal gennaio 2025 impone controlli documentati sui provider critici e test periodici di resilienza. Se un servizio SaaS diventa il punto di ingresso di una violazione, l’azienda deve dimostrare di aver effettuato verifiche e controlli adeguati.

Per il management tutto ciò si traduce nella necessità non solo di scegliere una piattaforma affidabile, ma di gestire le autorizzazioni concesse, i livelli di accesso e le integrazioni attive. Ogni servizio collegato ai sistemi aziendali rappresenta una dipendenza tecnica e contrattuale. Ignorarla significa delegare una parte del rischio operativo a soggetti esterni senza mantenerne il controllo.

In conclusione

Le compromissioni supply chain SaaS sono inevitabilmente il nuovo principale rischio per le aziende. Poiché gli attacchi sfruttano relazioni tecniche già esistenti, la violazione è molto difficile da individuare, permettendo a un attaccante di esercitare una persistenza interna molto più duratura.

Ecco perché si continua a ripetere che la sicurezza deve passare dal controllo delle integrazioni applicative, la verifica dei privilegi concessi ai servizi esterni e la revisione periodica delle deleghe di accesso. Ignorarle significa compromettere in maniera irreparabile la continuità operativa di un’organizzazione.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.