La gestione del rischio della supply chain è la pratica di identificare, valutare e ridurre il rischio di sicurezza lungo l’intera supply chain tecnologica: fornitori, parti, dipendenze software, produzione, distribuzione, manutenzione e smaltimento. Considera la supply chain come parte della superficie d’attacco, non solo la rete o l’endpoint.
Questo è importante perché gli aggressori possono sfruttare percorsi fidati prima ancora che un sistema sia in uso. Gli esempi includono hardware contraffatto, firmware manomesso, codice malevolo in librerie di terze parti, canali di aggiornamento compromessi e dipendenze nascoste che rallentano le patch o oscurano ciò che è effettivamente in esecuzione. Controlli solidi sulla supply chain aiutano i difensori a verificare la provenienza, richiedere la divulgazione delle vulnerabilità, tracciare i componenti con gli SBOM e scegliere fornitori con garanzie migliori. In pratica, l’obiettivo è la resilienza: meno punti ciechi, risposta più rapida al compromesso di un fornitore e minore dipendenza da componenti che non possono essere ispezionati, sostituiti o aggiornati con fiducia.