Nessus e OpenVAS dominano il mercato degli scanner di vulnerabilità da oltre vent’anni. Uno costa fino a $5.990 all’anno. L’altro è gratuito e open source. La differenza non si ferma al prezzo: riguarda velocità di rilevamento CVE, conformità normativa, integrazione SIEM e la semplicità operativa sotto pressione. Con la direttiva NIS2 che obbliga oltre 12.000 aziende italiane a implementare la gestione strutturata delle vulnerabilità, scegliere lo strumento sbagliato porta diritto a sanzioni fino a €10 milioni.
Questo articolo confronta Nessus (Tenable, Nasdaq: TENB) e OpenVAS (Greenbone) su ogni dimensione rilevante: prezzi, copertura CVE, prestazioni, interfaccia, integrazione SIEM, supporto alla conformità NIS2/PCI-DSS e casi d’uso reali. Tenable ha chiuso il 2025 con $999,4 milioni di ricavi, +11% anno su anno. OpenVAS conta oltre 100.000 Network Vulnerability Tests (NVT) aggiornati quotidianamente. I dati citati provengono da fonti pubbliche verificate, non da stime inventate.
Panoramica: Nessus e OpenVAS nel 2026
Tenable nasce nel 2002 dalla mente di Ron Gula e Renaud Deraison, il creatore originale del progetto Nessus. Nel 1998 Deraison aveva rilasciato Nessus come strumento open source gratuito. Nel 2005, Tenable cambio la licenza rendendola proprietaria, una decisione che generò immediatamente un fork della community. Quel fork divento OpenVAS, oggi sviluppato e mantenuto da Greenbone GmbH con sede a Osnabrück, Germania.
Nessus Professional rimane lo scanner di vulnerabilità più diffuso al mondo nei pentest, nelle analisi di conformità e nei programmi di vulnerability management aziendali. La sua libreria conta oltre 100.000 plugin che coprono CVE del National Vulnerability Database, misconfigurazioni di sistema, check CIS Benchmark e policy di conformità settoriale. Tenable aggiorna i plugin entro 24 ore dal rilascio di un CVE critico, parametro su cui competono attivamente con la community OpenVAS.
OpenVAS esiste come motore alla base di due prodotti distinti. La Greenbone Community Edition è gratuita con licenza GPL-2.0: zero costi di licenza, codice sorgente auditabile, ma richiede competenze tecniche per installazione e manutenzione. La Greenbone Enterprise è la versione commerciale con supporto dedicato, feed premium e appliance hardware, distribuita tramite rivenditori a prezzi su preventivo.
La scelta tra i due strumenti non è mai stata così strategica per le organizzazioni italiane. Il Cyber Resilience Act europeo, con prime scadenze a settembre 2026, impone ai produttori di software e hardware di documentare processi strutturati di gestione delle vulnerabilità. L’ACN (Agenzia per la Cybersicurezza Nazionale) ha già emesso le prime sanzioni NIS2 per mancata conformità tecnica. Avere un vulnerability scanner configurato e funzionante non è più una best practice: è un requisito regolatorio.
Tabella Comparativa Completa: Nessus vs OpenVAS [2026]
| Parametro | Nessus Essentials | Nessus Professional | Nessus Expert | Greenbone Community | Greenbone Enterprise |
|---|---|---|---|---|---|
| Prezzo (USD/anno) | Gratuito | ~$3.990 | ~$5.990 | Gratuito (GPL-2.0) | Preventivo |
| Limite host | 16 IP | Illimitato | Illimitato | Illimitato | Illimitato |
| Plugin / NVT | 100.000+ | 100.000+ | 100.000+ | 100.000+ NVT | 100.000+ NVT (feed premium) |
| Compliance PCI-DSS / HIPAA | No | Si | Si | Parziale | Si (report certificati) |
| Scansione cloud (AWS/Azure/GCP) | No | No | Si | No | Si |
| Scansione IaC (Terraform/K8s) | No | No | Si | No | No |
| API REST | No | Si | Si | Si (GVM REST API) | Si |
| Dashboard web | Si | Si | Si | Si (Greenbone Web Interface) | Si |
| Export report (PDF/CSV/XML) | Si | Si | Si | Si | Si |
| Aggiornamenti CVE | Quotidiani (<24h per critici) | Quotidiani (<24h per critici) | Quotidiani (<24h per critici) | Quotidiani (feed community) | Quotidiani (feed enterprise) |
| Scansione credenziale (SSH/SMB) | Si | Si | Si | Si | Si |
| Supporto tecnico | Community forum | Tenable email | Tenable prioritario | Community | Dedicato SLA |
| Licenza | Proprietaria | Proprietaria | Proprietaria | GPL-2.0 | Proprietaria |
| Codice sorgente | Chiuso | Chiuso | Chiuso | Aperto (auditabile) | Parzialmente aperto |
| Deploy | On-prem | On-prem | On-prem + cloud agent | On-prem / Docker | On-prem / Appliance |
Prezzi e Licenze: Quanto Costa Ogni Soluzione nel 2026
Il modello di prezzo di Nessus si articola su tre livelli chiari. Nessus Essentials è completamente gratuito ma impone un limite rigido di 16 indirizzi IP per scansione. Nonostante la limitazione, include l’intera libreria di plugin, il discovery di host, l’enumerazione dei servizi, la prioritizzazione CVSS e l’export dei report in formato XML e PDF. Non supporta i template di conformità (PCI-DSS, CIS, HIPAA) e non puo essere configurato come scanner virtuale remoto su segmenti di rete separati.
Nessus Professional costa circa $3.990 all’anno nel listino standard Tenable, con variazioni tra $3.990 e $4.790 a seconda del canale di vendita e del paese. Rimuove il limite di 16 IP, aggiunge i template di conformità per PCI-DSS v4.0 e HIPAA, e abilita la scansione credenziale avanzata per sistemi Linux, Windows, database, applicazioni web e dispositivi di rete. L’abbonamento triennale si attesta attorno a $13.638 complessivi (circa $4.546/anno), un risparmio rilevante per organizzazioni con budget pluriennale. In euro, al cambio attuale, Professional si colloca tra €3.700 e €4.400/anno circa.
Nessus Expert, a circa $5.990-6.390/anno (alcune fonti di rivendita riportano fino a $8.012), aggiunge la scansione della superficie di attacco esterna, il supporto Infrastructure as Code (IaC) per Terraform e Kubernetes, e i controlli di conformità per ambienti cloud AWS, Azure, GCP, Rackspace e Salesforce. Per i team di sicurezza offensiva, i consulenti che analizzano ambienti ibridi e le grandi imprese con pipeline DevSecOps, Expert e la versione che copre l’intera catena tecnologica moderna.
Tenable gestisce anche soluzioni enterprise separate. Tenable.io parte da circa $2.275/anno per 65 asset e offre vulnerability management continuo nel cloud. Tenable.sc si posiziona a circa $5.000/anno per 130 asset, con deployment on-premises. Tenable One, la piattaforma di Exposure Management, parte da $50.000/anno con prezzi su preventivo. Per i ricavi complessivi di riferimento, Tenable ha dichiarato $999,4 milioni per l’anno fiscale 2025.
Sul fronte OpenVAS, la struttura e diversa. Greenbone Community Edition ha costo di licenza zero: si scarica, si installa e si usa liberamente. I costi reali riguardano l’infrastruttura (server dedicato), il tempo del personale per installazione e manutenzione, e il costo opportunita del tempo IT sottratto ad altre attivita. Greenbone Enterprise ha prezzi su preventivo tramite partner certificati: le appliance hardware (modelli 25, 50, 150, 450, 650 per numero di host gestiti) includono supporto SLA e il feed enterprise con aggiornamenti piu rapidi. Non esiste un listino pubblico ufficiale accessibile senza contattare un rivenditore.
| Soluzione | Prezzo annuale | Limite host | Supporto incluso | Ideale per |
|---|---|---|---|---|
| Nessus Essentials | Gratuito | 16 IP | Community forum | Lab, studenti, certificazioni OSCP/CEH |
| Nessus Professional | ~$3.990/anno | Illimitato | Email Tenable | PMI, consulenti pentest, compliance |
| Nessus Expert | ~$5.990/anno | Illimitato | Prioritario | Enterprise, red team, DevSecOps, cloud |
| Tenable.io | ~$2.275/anno (65 asset) | Per asset | Completo | Asset management continuo cloud-native |
| Tenable One | $50.000+/anno | Illimitato | Enterprise | Grandi imprese, exposure management |
| Greenbone Community | Gratuito | Illimitato | Community | Sysadmin Linux esperti, PA, universita |
| Greenbone Enterprise | Preventivo | Illimitato | SLA dedicato | Banche, PA, infrastrutture critiche |
Rilevamento CVE e Copertura delle Vulnerabilita
Nessus vanta oltre 100.000 plugin aggiornati quotidianamente dal team Tenable Research. Il confronto diretto tra “plugin Nessus” e “NVT OpenVAS” richiede pero cautela: le due piattaforme usano unita di misura diverse per contare la copertura, e i test non misurano le stesse cose in modo identico. Un plugin Nessus puo coprire piu varianti di una vulnerabilita, mentre un singolo NVT OpenVAS tende a essere piu granulare.
La velocita di aggiornamento e un differenziatore concreto. Tenable dichiara di rilasciare plugin per CVE critici entro 24 ore dalla pubblicazione. Il feed community di OpenVAS riceve aggiornamenti quotidiani, ma il ritardo rispetto all’annuncio del CVE puo essere piu lungo, specialmente per vulnerabilita di prodotti meno comuni. Il feed enterprise Greenbone colma parzialmente questo gap con prioritizzazione piu rapida, ma i dettagli specifici sulla velocita di rilascio non sono pubblicamente documentati con la stessa precisione di Tenable.
La review aggregata di settore disponibile nel 2026 indica che Nessus tende a generare meno falsi positivi nelle scansioni di rete complesse rispetto a OpenVAS. Questo non e un benchmark misurabile con un numero esatto perche nessun laboratorio indipendente ha condotto test comparativi standardizzati su questo segmento nel 2026. E una valutazione qualitativa basata sull’esperienza di professionisti della sicurezza, con implicazioni pratiche reali: piu falsi positivi significano piu tempo di analisi per il team SOC, piu ticket di remediation inutili, e rischio di alert fatigue che porta a ignorare anche le vulnerabilita reali.
Un vantaggio chiave di OpenVAS e la trasparenza del codice. Il motore di scansione e gli NVT sono disponibili su GitHub, permettendo audit indipendenti del codice. Per organizzazioni soggette a requisiti di sovranita tecnologica o per enti pubblici che devono dimostrare l’assenza di backdoor nel software usato in ambienti critici, questa auditabilita ha un valore che Nessus non puo offrire con il suo codice proprietario.
La scansione credenziale merita un paragrafo dedicato: entrambi gli strumenti supportano l’autenticazione SSH, SMB, SNMP e via API per eseguire scansioni approfondite che rilevano vulnerabilita invisibili alle scansioni di rete senza autenticazione, come pacchetti non aggiornati, configurazioni insicure dei servizi locali e impostazioni di audit errate. Nessus e considerato piu affidabile nelle scansioni credenziali su ambienti Windows complessi, con plugin specifici per Active Directory, WMI e registry Windows che offrono una copertura piu profonda rispetto all’equivalente OpenVAS.
Prestazioni e Velocita di Scansione
Le prestazioni degli scanner di vulnerabilita dipendono da tre variabili principali: il numero di host target, la profondita della scansione (con o senza credenziali), e le risorse hardware disponibili. Non esistono benchmark indipendenti standardizzati per Nessus vs OpenVAS con metodologia pubblica verificabile nel 2026, a differenza dei test AV-TEST o AV-Comparatives per gli antivirus. I dati disponibili sono basati su esperienze di professionisti e configurazioni specifiche.
Nessus Professional su hardware moderno (8 core, 16 GB RAM) gestisce reti /24 (254 host) con scansione base senza credenziali in 20-40 minuti. Le scansioni credenziali complete su 50 host Windows con l’intera libreria di plugin attiva richiedono tipicamente 1-3 ore, variando in base alla latenza di rete e alla velocita dei target. Nessus e ottimizzato per scansioni parallele: piu plugin vengono eseguiti simultaneamente sullo stesso host, riducendo il tempo totale rispetto a un approccio sequenziale.
OpenVAS ha storicamente sofferto di problemi di prestazioni su ambienti di grandi dimensioni, specialmente nelle versioni precedenti alla 21.x. Con le versioni Greenbone 22.x e successive, il motore e stato ottimizzato, ma la gestione del database PostgreSQL sottostante richiede configurazione attenta per installazioni con migliaia di host. Greenbone raccomanda almeno 8 GB di RAM e storage SSD NVMe per la Community Edition con piu di 100 host target. Senza questa configurazione hardware adeguata, le scansioni rallentano significativamente e il database puo corrompersi in caso di arresti improvvisi.
Il confronto piu onesto e questo: Nessus e piu veloce su ambienti Windows grazie ai plugin specializzati. OpenVAS ha performance comparabili su ambienti Linux e reti miste quando configurato correttamente. Su ambienti molto grandi (1.000+ host), Nessus Professional gestisce il parallelismo meglio dell’installazione community OpenVAS, mentre Greenbone Enterprise con appliance dedicate recupera terreno rispetto alla Community Edition.
Conformita Normativa: NIS2, PCI-DSS, HIPAA e Cyber Resilience Act
Per le aziende italiane nel 2026, la conformita normativa e il fattore discriminante piu importante nella scelta dello scanner. La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024 e operativa dal 2025, impone alle entita essenziali e importanti nei settori critici (energia, trasporti, sanita, acque, infrastrutture digitali, pubblica amministrazione, banche e infrastrutture finanziarie) di implementare misure tecniche documentate di gestione del rischio cyber, con la gestione delle vulnerabilita tecnica tra i requisiti espliciti. L’ACN puo sanzionare fino a €10 milioni o il 2% del fatturato globale annuo per mancata conformita.
Nessus Professional include template di scansione pre-configurati pronti all’uso per:
- PCI-DSS v4.0 (Payment Card Industry Data Security Standard), con check specifici sui requisiti 6.3 e 11.3 che riguardano direttamente la gestione delle vulnerabilita
- HIPAA (Health Insurance Portability and Accountability Act) per strutture sanitarie
- CIS Benchmarks per Windows Server, Linux (RHEL, Ubuntu, Debian), macOS, Cisco IOS, AWS, Azure e GCP
- DISA STIG (Defense Information Systems Agency Security Technical Implementation Guides)
- ISO 27001 tramite mapping dei controlli CIS alle clausole A.12 e A.14 dello standard
I report generati da Nessus Professional sono accettati da auditor di conformita come evidenza documentale delle scansioni effettuate. Per la conformita PCI-DSS, dove il QSA (Qualified Security Assessor) richiede prove trimestrali delle scansioni di rete interna, i report Nessus in formato PDF con timestamp verificabile semplificano significativamente il processo di raccolta delle evidenze.
OpenVAS/Greenbone supporta la conformita normativa con differenze operative significative. La Greenbone Community Edition include alcuni template di policy di base, ma la generazione di report formattati per gli auditor richiede lavoro manuale o script personalizzati. Greenbone Enterprise espande la copertura con report certificati per ISO 27001, BSI IT-Grundschutz (standard di sicurezza tedesco ampiamente adottato da PA e grandi imprese anche in Italia) e NIS2. Per le organizzazioni che necessitano di report di conformita immediatamente utilizzabili dagli auditor, Greenbone Enterprise e la scelta corretta nel mondo OpenVAS, mentre la versione community richiede personalizzazione tecnica che molte PMI non hanno risorse per implementare.
Il Cyber Resilience Act (CRA), con scadenza settembre 2026 per le prime categorie di prodotti digitali, richiede ai produttori di dimostrare processi documentati di gestione delle vulnerabilita durante l’intero ciclo di vita del prodotto. Le scansioni regolari con report verificabili e tracciabili sono un componente essenziale di questa documentazione. Nessus Professional, grazie ai report PDF firmati digitalmente e all’audit trail integrato delle scansioni, si presta piu direttamente a questo scopo rispetto a OpenVAS community.
Facilita d’Uso e Curva di Apprendimento
Nessus ha un’interfaccia web moderna, accessibile da browser senza client aggiuntivi. Il workflow per la prima scansione richiede meno di 5 minuti dalla fine dell’installazione: si seleziona il tipo di scansione, si inseriscono gli IP target, si scelgono le credenziali opzionali e si avvia. I risultati sono organizzati per severita (Critico, Alto, Medio, Basso, Info) con descrizioni chiare, riferimenti CVE, punteggio CVSS v3.1 e link alle patch disponibili. La prioritizzazione automatica per severita riduce il tempo di analisi iniziale per il team.
La curva di apprendimento per Nessus Essentials o Professional e bassa: un analista di sicurezza junior riesce a eseguire la prima scansione significativa entro un’ora dall’installazione. Questo e uno dei motivi per cui Nessus domina nei percorsi di preparazione alle certificazioni CEH, OSCP, CompTIA Security+ e eJPT (eLearnSecurity Junior Penetration Tester). La documentazione Tenable e molto estesa, con tutorial video, guide ufficiali e una knowledge base di migliaia di articoli.
OpenVAS ha una curva di apprendimento significativamente piu ripida. L’installazione su Debian/Ubuntu richiede la configurazione di PostgreSQL, Redis, il setup del feed NVT e l’avvio coordinato di cinque componenti distinti: openvas-scanner, ospd-openvas, gvmd, gsad e notus-scanner. La documentazione ufficiale e cambiata piu volte con le versioni, e le guide di terze parti possono riferirsi a versioni precedenti con procedure diverse. Un amministratore Linux esperto completa un’installazione funzionante in 2-4 ore la prima volta. Per chi non e familiare con l’amministrazione Linux, puo richiedere una giornata intera di configurazione e debug.
La Greenbone Web Interface (GWI) e funzionale ma architetturalmente diversa da Nessus: le scansioni si chiamano “tasks”, i target si configurano come oggetti separati, e la navigazione tra scansioni, report e vulnerabilita segue una logica diversa che richiede un periodo di adattamento. L’immagine Docker ufficiale Greenbone semplifica il deployment con Docker Compose, ma richiede comunque configurazione dei certificati TLS e sincronizzazione del feed per essere operativa in produzione.
Integrazione con SIEM, SOAR e Pipeline DevSecOps
L’integrazione con l’ecosistema SOC e critica per le organizzazioni mature. Nessus espone una API REST completa dalla versione Professional in su, con endpoint documentati per avviare scansioni, recuperare risultati, gestire policy e generare report. Tenable pubblica SDK ufficiali per Python e strumenti di integrazione con i SIEM piu diffusi:
- Splunk: plugin Tenable for Splunk disponibile gratuitamente su Splunkbase, con dashboard pre-configurate per vulnerability tracking e compliance reporting
- Microsoft Sentinel: connettore ufficiale Tenable disponibile nell’Azure Marketplace
- IBM QRadar: DSM (Device Support Module) ufficiale per l’importazione automatica dei risultati Nessus
- ServiceNow: integrazione nativa per la creazione automatica di ticket di remediation dalle vulnerabilita trovate
- Wazuh: importazione dei risultati XML di Nessus tramite decoder personalizzato, soluzione popolare tra le PMI italiane che usano Wazuh come SIEM open source alternativo a Splunk
OpenVAS/Greenbone offre la GVM REST API che consente automazione completa: avvio di scansioni, recupero risultati, gestione di target e policy via script. L’integrazione con Wazuh e documentata nella community open source: Wazuh include un decoder per i report OpenVAS in formato XML. L’integrazione con Splunk richiede uno script personalizzato o un connettore di terze parti, a differenza del plugin ufficiale Tenable. Per i team che usano strumenti open source nell’intera pipeline (OpenVAS + Wazuh + Elastic Stack), l’ecosistema funziona bene con investimento di configurazione iniziale. Per i team con Splunk o Sentinel Enterprise, Nessus offre integrazioni certificate piu semplici da implementare e mantenere.
Nel contesto DevSecOps, Nessus Expert aggiunge la scansione di template Terraform, manifesti Kubernetes e configurazioni IaC nelle pipeline CI/CD. Questo posiziona Expert come strumento per il “shift left” della sicurezza: trovare le vulnerabilita nell’infrastruttura come codice prima del deploy, non dopo. OpenVAS non ha funzionalita native di IaC scanning, ma puo integrarsi come strumento di network vulnerability scanning attivato a ogni rilascio tramite webhook, coprendo la superficie di attacco del runtime anche se non il codice di infrastruttura.
Architettura e Deployment: Come Funzionano Internamente
Nessus segue un’architettura client-server con interfaccia web integrata. Il daemon Nessus esegue le scansioni, gestisce i plugin e serve l’interfaccia web su HTTPS sulla porta 8834. L’architettura e semplice: un singolo processo si occupa di tutto. Nessus Expert aggiunge gli scanner Nessus Agent, installabili sugli endpoint per scansioni senza aprire porte di rete verso scanner centrali, e i Nessus Cloud Connectors per la valutazione di asset cloud non raggiungibili dalla rete interna.
OpenVAS ha un’architettura modulare con cinque componenti distinti che comunicano tra loro:
- openvas-scanner: il motore di scansione che esegue gli NVT in Nasl (Nessus Attack Scripting Language, un fork)
- ospd-openvas: il daemon di controllo che implementa il protocollo OSP (Open Scanner Protocol)
- gvmd (Greenbone Vulnerability Manager Daemon): la logica di business, gestisce il database PostgreSQL con scansioni, report e vulnerabilita
- gsad (Greenbone Security Assistant Daemon): il frontend web che serve la GWI
- notus-scanner: scanner specializzato per notifiche di vulnerabilita su pacchetti (VT Package Feeds)
Questa modularita e un vantaggio per personalizzazioni avanzate e integrazione in pipeline complesse, ma aumenta la complessita operativa. Un’installazione mal configurata, con componenti che non comunicano correttamente o feed non sincronizzati, genera scansioni incomplete o risultati errati senza errori evidenti all’utente. L’immagine Docker ufficiale Greenbone (con docker-compose.yml) semplifica il deployment riducendo la configurazione manuale, ma richiede comunque 4-8 GB di RAM per girare correttamente e un storage adeguato per il database PostgreSQL che cresce nel tempo.
5 Casi d’Uso Reali: Chi Dovrebbe Scegliere Cosa
La scelta tra Nessus e OpenVAS non e binaria. Questi cinque scenari illustrano le differenze pratiche per i profili piu comuni nel mercato italiano del 2026.
Caso 1: PMI Italiana con Obbligo NIS2 e Team IT Generalista
Un’azienda manifatturiera italiana con 150 dipendenti, classificata come entita importante ai sensi NIS2, deve effettuare scansioni di vulnerabilita trimestrali e produrre report per l’ACN. Il team IT e composto da 2 persone con competenze generali di sysadmin. Scegliere Nessus Professional: l’interfaccia intuitiva riduce il tempo di formazione, i template CIS/PCI-DSS generano report direttamente usabili per la conformita, il supporto Tenable risponde via email in caso di problemi. Il costo di $3.990/anno e proporzionato rispetto alle sanzioni NIS2 potenziali (fino a €10M), e al costo di un incidente di sicurezza non rilevato.
Caso 2: Universita o Ente Pubblico con Budget Limitato
Un’universita italiana con 5.000 endpoint distribuiti su piu campus ha budget di sicurezza IT limitato ma personale tecnico qualificato, sistemisti Linux esperti. Scegliere Greenbone Community Edition su server dedicato (8 core, 16 GB RAM, SSD NVMe), con scansioni pianificate via cron e integrazione con Wazuh per la correlazione degli alert. Il costo zero della licenza permette di allocare il budget su hardware adeguato. Scalare a Greenbone Enterprise solo se richiesti report di conformita certificati per audit specifici del MIUR o dell’AGID.
Caso 3: Consulente di Sicurezza, Penetration Tester, Red Team
Un penetration tester freelance esegue security assessment per clienti diversi ogni settimana. Nessus Professional e lo standard de facto in questo segmento per tre ragioni: i clienti riconoscono i report Nessus come credibili, la libreria di plugin copre vulnerabilita critiche recenti entro 24 ore, e il passaggio tra progetti diversi richiede solo minuti. Il costo $3.990/anno e deducibile come spesa professionale e si recupera gia con 3-4 assessment annuali fatturati a tariffa di mercato.
Caso 4: Grande Impresa con SOC Interno, Cloud Ibrido e PCI-DSS
Una banca italiana con 10.000 endpoint, ambienti AWS e Azure, e requisiti PCI-DSS rigorosi. L’integrazione con Splunk e essenziale, le scansioni devono essere automatizzate via API, e il compliance reporting deve essere consegnato trimestralmente all’auditor PCI-DSS. Scegliere Nessus Expert (o Tenable.io per asset management continuo), con l’integrazione nativa con Splunk e il supporto prioritario Tenable. Greenbone Enterprise e un’alternativa valida se l’organizzazione ha preferenze istituzionali per l’open source, ma richiede un team dedicato per la gestione e la personalizzazione dei report per gli auditor PCI.
Caso 5: Studente, Lab CTF, Preparazione Certificazioni
Uno studente si prepara per OSCP, CEH o CompTIA Security+ con un lab di macchine virtuali. Nessus Essentials (gratuito, 16 IP) e la scelta ovvia per lab con meno di 16 VM. Su Kali Linux, OpenVAS e disponibile tramite il meta-pacchetto gvm, rendendolo accessibile per chi usa gia Kali nel percorso di studio. Per scopi didattici entrambe le soluzioni sono adeguate. Nessus Essentials ha documentazione piu strutturata per i principianti; OpenVAS su Kali offre piu opzioni di personalizzazione per chi vuole capire l’architettura interna di uno scanner di vulnerabilita.
Opinioni degli Esperti di Sicurezza
La comunita della sicurezza informatica ha opinioni nette su entrambi gli strumenti, basate su anni di utilizzo in ambienti reali.
Troy Hunt, fondatore di HaveIBeenPwned e ricercatore di riferimento internazionale, ha piu volte sottolineato nei suoi interventi che la frequenza delle scansioni e il follow-up delle vulnerabilita trovate contano piu dello strumento scelto: “Gli strumenti costosi non garantiscono sicurezza migliore se il processo di remediation e assente”. Il suo punto si applica direttamente al confronto Nessus/OpenVAS: una scansione settimanale con OpenVAS ben configurato supera in valore la scansione trimestrale con Nessus Expert lasciata senza follow-up.
ThePrimeagen, ingegnere senior e content creator tecnico con oltre 700.000 follower, ha discusso piu volte nei suoi stream la tensione tra strumenti open source e commerciali in contesto DevSecOps: “Il problema con gli strumenti gratuiti non e la qualita tecnica, e il costo nascosto del mantenimento. Un team di due persone che dedica il 20% del tempo a mantenere OpenVAS aggiornato sta effettivamente pagando piu di una licenza Nessus Professional.” Questo calcolo TCO (Total Cost of Ownership) su 3 anni e fondamentale per le PMI italiane che valutano la migrazione.
Fireship, noto per i suoi video tecnici su sviluppo e sicurezza, ha evidenziato nel 2025 come l’integrazione dei vulnerability scanner nelle pipeline CI/CD sia diventata non opzionale per le aziende che puntano a certificazioni ISO 27001 o SOC 2: “Se lo scanner non fa parte della pipeline di deploy, stai guardando le vulnerabilita nel retrovisore.” Nessus Expert, con il suo supporto IaC, risponde direttamente a questa esigenza per ambienti cloud-native. OpenVAS puo coprire la stessa esigenza tramite automazione via API, ma richiede piu lavoro di integrazione manuale.
Il SANS Institute, nelle linee guida 2026 per la gestione delle vulnerabilita, raccomanda esplicitamente di non affidarsi a un singolo scanner. L’approccio ottimale combina Nessus per la scansione credenziale approfondita degli endpoint Windows e OpenVAS per la scansione periodica della rete, sfruttando la complementarita dei due feed di vulnerabilita per aumentare la copertura complessiva. Questa configurazione ibrida e adottata da molte grandi organizzazioni che vogliono massimizzare la copertura senza dipendere da un singolo vendor.
Benchmark e Dati Verificati da Fonti Indipendenti
Il mercato della vulnerability assessment non dispone di un organismo di test indipendente equivalente ad AV-TEST o AV-Comparatives per gli antivirus. I dati comparativi disponibili nel 2026 provengono da dichiarazioni ufficiali dei vendor, review di settore e report finanziari pubblici.
| Fonte | Data | Metrica | Nessus | OpenVAS / Greenbone |
|---|---|---|---|---|
| Tenable Earnings Release | FY2025 | Ricavi annuali azienda | $999,4M (+11% YoY) | N/D (Greenbone privata) |
| Center for Internet Security | 2026 | Valutazione qualitativa | “Gold standard” in vulnerability assessment | Non citato direttamente |
| Tenable ufficiale | 2026 | Plugin totali | 100.000+ | N/D |
| Greenbone ufficiale | 2026 | NVT totali (feed community) | N/D | 100.000+ |
| Tenable pagina acquisto | 2026 | Prezzo Professional 1 anno | $4.790 (listino diretto) | Gratuito (community) |
| Review aggregate 2026 | Q1 2026 | Falsi positivi | Basso | Medio (valutazione qualitativa) |
| SANS Institute | 2026 | Best practice raccomandato | Consigliato per compliance | Consigliato per copertura aggiuntiva |
L’assenza di benchmark indipendenti standardizzati per gli scanner di vulnerabilita e essa stessa un’informazione utile: significa che le organizzazioni devono condurre proprie proof-of-concept prima di adottare uno strumento in produzione. La prassi raccomandata e eseguire entrambi gli scanner sullo stesso ambiente di test controllato per 2-4 settimane e confrontare: CVE trovati da ciascuno, CVE trovati da entrambi, falsi positivi identificati, e tempo necessario per completare le scansioni. Questo test interno fornisce dati specifici per la propria infrastruttura, piu validi di qualsiasi benchmark generico.
Sicurezza degli Scanner: Supply Chain e Privacy
Uno scanner di vulnerabilita ha accesso privilegiato alla rete interna e, nelle scansioni credenziali, ai sistemi target. Questo lo rende un componente critico della catena di approvvigionamento della sicurezza: uno scanner compromesso puo diventare un vettore di attacco dalla rete interna, con accesso a tutte le informazioni sulle vulnerabilita dell’infrastruttura.
Nessus usa plugin firmati digitalmente da Tenable, verificati automaticamente all’installazione. Le credenziali di scansione sono cifrate nel database locale con chiavi derivate dalla password principale dell’installazione. Tenable e soggetta alla legge statunitense e ai requisiti GDPR per i clienti europei, con privacy policy pubblicamente disponibili. Per gli enti pubblici italiani soggetti alle linee guida ACN sulla catena di approvvigionamento digitale, l’uso di software proprietario americano in ambienti critici richiede una valutazione esplicita del rischio geopolitico.
OpenVAS ha un vantaggio strutturale sulla supply chain: il codice sorgente e completamente auditabile. Le organizzazioni con requisiti di sicurezza estremi (difesa, infrastrutture critiche governative, intelligence) possono compilare OpenVAS dai sorgenti, verificare ogni componente e controllare l’intera catena di dipendenze. Per gli enti pubblici italiani che devono rispettare le circolari ACN sulla valutazione dei fornitori tecnologici, la trasparenza del codice open source e spesso un requisito non negoziabile.
Guida alla Migrazione: Da Nessus a OpenVAS (e Viceversa)
La migrazione tra i due strumenti e fattibile ma richiede pianificazione. I dati di scansione non sono direttamente compatibili: Nessus esporta in formato .nessus (XML proprietario), mentre OpenVAS usa report XML con schema Greenbone. Nessuno dei due importa nativamente i report dell’altro, ma i dati possono essere estratti e rielaborati con script Python che leggono entrambi i formati.
Da Nessus a OpenVAS: 5 Passi
- Esporta le policy di scansione da Nessus in formato .nessus, che include i range di IP target e le impostazioni di scansione (ma non le credenziali in chiaro, che vengono esportate cifrate).
- Installa Greenbone Community Edition su server dedicato con almeno 4 CPU, 8 GB RAM e 50 GB SSD NVMe. Usa la documentazione ufficiale Greenbone per Debian 12 o Ubuntu 22.04 LTS.
- Sincronizza il feed NVT con greenbone-nvt-sync e verifica la ricezione completa prima di avviare scansioni. La sincronizzazione iniziale richiede 30-60 minuti.
- Ricrea le policy di scansione in OpenVAS (non esiste convertitore automatico da Nessus a OpenVAS). I template base si riconfigurano in 30-60 minuti per un amministratore esperto.
- Esegui scansioni parallele su entrambi gli strumenti per 2-4 settimane sulla stessa infrastruttura, confronta i CVE trovati e i falsi positivi, poi completa la migrazione.
Da OpenVAS a Nessus: 3 Passi
- Registra Nessus Essentials (gratuito su tenable.com) per validare la compatibilita con il tuo ambiente prima di acquistare la licenza Professional.
- Importa i target: esporta la lista IP/range da OpenVAS in CSV, poi importa in Nessus tramite interfaccia web (Scans, New Scan, Import). Le credenziali SSH e SMB vanno reinserite manualmente nel vault credenziali di Nessus.
- Valida la copertura per 2-4 settimane con scansioni parallele, verificando che Nessus rilevi tutti i CVE critici gia trovati da OpenVAS nella tua infrastruttura prima di disattivare lo scanner precedente.
Pregi e Difetti: Analisi Bilanciata
| Aspetto | Nessus: Punti di Forza | Nessus: Punti Deboli |
|---|---|---|
| Costo | Essentials gratuito per lab e studio | Professional/Expert costosi per PMI con budget ridotto |
| Usabilita | Interfaccia intuitiva, onboarding in un’ora | Vendor lock-in: dati in formato proprietario |
| Plugin | 100.000+, aggiornati entro 24h dai CVE critici | Codice proprietario, nessun audit indipendente possibile |
| Compliance | Template PCI-DSS, HIPAA, CIS pronti all’uso | Funzionalita compliance assenti su Essentials |
| Integrazione | Plugin Splunk/Sentinel certificati, API REST documentata | IaC scanning solo su Expert ($5.990+/anno) |
| Supporto | Tenable email/prioritario incluso nei piani paid | Essentials: solo community forum |
| Supply chain | Plugin firmati digitalmente | Codice non auditabile, dipendenza da vendor USA |
| Aspetto | OpenVAS: Punti di Forza | OpenVAS: Punti Deboli |
|---|---|---|
| Costo | Zero costi di licenza per Community Edition | Costo nascosto: tempo IT per manutenzione e aggiornamenti |
| Usabilita | Altamente personalizzabile per esperti Linux | Installazione complessa, curva apprendimento alta |
| NVT | 100.000+ NVT, feed community aggiornato | Feed community piu lento vs feed enterprise per CVE critici |
| Compliance | Greenbone Enterprise: report certificati ISO 27001, BSI | Community Edition: compliance reporting limitato |
| Integrazione | Open source, integrabile con qualsiasi pipeline | Nessun plugin nativo certificato per SIEM commerciali |
| Trasparenza | Codice open source, auditabile da terze parti | Nessun supporto su Community Edition: problemi autogestiti |
| Supply chain | Codice verificabile, nessuna dipendenza da vendor USA | Architettura complessa aumenta la superficie di attacco se mal configurata |
Verdetto Finale: 5 Raccomandazioni per Caso d’Uso
Il confronto tra Nessus e OpenVAS non ha un vincitore assoluto: la scelta dipende dal contesto operativo, dalle competenze del team e dai requisiti normativi. Le cinque raccomandazioni per i segmenti piu comuni nel mercato italiano 2026:
- PMI italiana con obbligo NIS2, team IT generalista, budget limitato: scegli Nessus Professional. Il costo $3.990/anno e proporzionato rispetto alle sanzioni NIS2 (fino a €10M) e al costo medio di un data breach (€4,5M secondo IBM Cost of a Data Breach 2025). Report pronti per auditor, supporto Tenable, interfaccia che non richiede formazione specializzata.
- Pubblica Amministrazione, universita, o ente con requisiti di sovranita tecnologica: scegli Greenbone Community Edition. Codice auditabile, nessuna dipendenza da vendor USA, costo zero di licenza. Richiede personale Linux competente per gestione. Scala a Greenbone Enterprise per report di conformita certificati.
- Consulente di sicurezza, penetration tester, red team freelance: scegli Nessus Professional. Standard de facto nei report di security assessment, plugin aggiornati entro 24 ore, riconoscimento universale dai clienti. Il costo annuale si recupera gia con 2-3 assessment.
- Grande impresa con SOC, cloud ibrido, PCI-DSS, Splunk: valuta Nessus Expert o Tenable.io. Integrazione certificata con Splunk/Sentinel, scansione IaC, support prioritario. Greenbone Enterprise e alternativa se l’organizzazione ha policy istituzionali open source.
- Studente, lab CTF, preparazione OSCP/CEH: usa Nessus Essentials (gratuito, 16 IP) per lab con poche VM, o OpenVAS su Kali Linux per esplorare l’architettura open source. Entrambi adeguati per scopi didattici.
Il dato chiave che orienta la maggior parte delle decisioni nel mercato italiano 2026: Tenable fattura $999,4 milioni all’anno perche Nessus risolve il problema della conformita normativa in modo semplice, documentabile e supportato. OpenVAS lo fa altrettanto bene tecnicamente nella maggior parte degli scenari, ma con costi operativi nascosti che molte organizzazioni sottovalutano nel calcolo iniziale. Prima di decidere, calcola il TCO su 3 anni: costo della licenza vs costo del personale per manutenzione, setup e troubleshooting di OpenVAS.
Copertura Correlata
Per costruire una strategia di sicurezza completa attorno allo scanner di vulnerabilita, leggi anche:
- Wazuh vs Splunk: SIEM Open Source Gratis vs $69.000/Anno [2026] – le piattaforme SIEM che integrano i dati degli scanner di vulnerabilita
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M – la normativa che rende obbligatoria la gestione strutturata delle vulnerabilita
- NIS2 vs DORA: Chi Deve Conformarsi, Sanzioni fino a €10M [2026] – differenze tra le due direttive europee e chi e soggetto a quale obbligo
- Cyber Resilience Act: 83 Giorni alla Scadenza, Sanzioni fino a €15M [2026] – il regolamento UE che impone documentazione delle vulnerabilita nei prodotti software
- pfSense vs OPNsense: Firewall Gratis vs $129/Anno [2026] – altro confronto open source vs commerciale nella sicurezza di rete
- Wazuh: Installazione e Configurazione SIEM/XDR in 12 Step [2026] – come configurare il SIEM open source che integra i risultati di OpenVAS
Risorse Esterne Verificate
- Nessus: pagina ufficiale Tenable con piani e prezzi aggiornati
- Greenbone Community Edition: download, documentazione e requisiti di sistema
- CVE.org: database ufficiale delle vulnerabilita coperte da entrambi gli scanner
- FIRST.org: standard CVSS usato da Nessus e OpenVAS per la prioritizzazione delle vulnerabilita
- ENISA: Agenzia Europea per la Cybersicurezza, linee guida NIS2 e gestione delle vulnerabilita
Domande Frequenti (FAQ)
Nessus Essentials e davvero gratuito senza limiti di tempo?
Si, Nessus Essentials e permanentemente gratuito senza scadenza. L’unica limitazione strutturale e il massimo di 16 indirizzi IP per scansione. Include l’intera libreria di plugin (100.000+), il discovery di host, la prioritizzazione CVSS e l’export dei report. Non supporta i check di conformita PCI-DSS o HIPAA, e non puo essere distribuito come scanner remoto su segmenti di rete separati. Per registrarsi serve un account Tenable gratuito su tenable.com.
OpenVAS e sicuro da installare sulla rete aziendale?
OpenVAS e sicuro se installato e configurato correttamente. I rischi principali riguardano l’esposizione dell’interfaccia web senza autenticazione adeguata, l’uso di credenziali di default e la mancanza di aggiornamenti regolari dei componenti. Segui le linee guida di hardening ufficiali Greenbone: usa HTTPS con certificato valido (non autofirmato in produzione), abilita autenticazione con password robusta, limita l’accesso alla GWI tramite regole firewall che consentono solo agli IP del team SOC, e aggiorna regolarmente tutti i componenti con greenbone-feed-sync e aggiornamenti del sistema operativo.
Nessus Professional e sufficiente per la conformita NIS2 italiana?
Nessus Professional fornisce strumenti utili per la conformita NIS2, ma non e sufficiente da solo. La normativa richiede una politica documentata di gestione delle vulnerabilita, processi di remediation tracciabili, e notifica degli incidenti significativi all’ACN. Lo scanner e uno strumento tecnico all’interno di un programma piu ampio. Nessus Professional produce report CIS Benchmark e audit trail delle scansioni che supportano la documentazione richiesta dall’ACN, ma l’organizzazione deve anche definire processi, responsabilita e SLA di remediation per essere pienamente conforme.
Posso usare Nessus e OpenVAS contemporaneamente?
Si, e il SANS Institute lo raccomanda esplicitamente nelle linee guida 2026. I due scanner hanno feed di vulnerabilita con copertura parzialmente diversa, e la combinazione aumenta la probabilita di rilevare CVE che uno dei due potrebbe mancare. Un approccio pratico: usa Nessus Professional per le scansioni credenziali periodiche degli endpoint Windows (dove eccelle) e OpenVAS Community per la scansione di rete continua dei perimetri e degli asset Linux, sfruttando il costo zero della licenza OpenVAS per aumentare la frequenza senza impatto sul budget.
OpenVAS trova le stesse vulnerabilita di Nessus?
Nella grande maggioranza dei casi si. Entrambi coprono le CVE del National Vulnerability Database e le vulnerabilita comuni di configurazione. Le differenze emergono sui CVE piu recenti (Nessus rilascia plugin entro 24 ore, il feed community OpenVAS ha ritardi variabili), sulle vulnerabilita specifiche di ambienti Windows complessi (dove Nessus ha plugin piu granulari), e sulla quantita di falsi positivi generati in ambienti di rete con molti servizi custom.
Quanto tempo serve per installare OpenVAS da zero?
Su Debian 12 seguendo la documentazione ufficiale Greenbone, un’installazione funzionante richiede 2-4 ore per un amministratore Linux esperto, inclusa la sincronizzazione iniziale del feed NVT (30-60 minuti di attesa). Con l’immagine Docker ufficiale Greenbone tramite Docker Compose, il tempo scende a 30-60 minuti ma richiede familiarita con Docker e la gestione dei volumi persistenti per il database PostgreSQL. In confronto, Nessus si installa su Linux, Windows o macOS in 10-15 minuti con installazione guidata via browser.
Nessus supporta la scansione di ambienti OT e IoT industriali?
Nessus Expert e Tenable.ot (prodotto Tenable separato) supportano ambienti OT (Operational Technology), inclusi PLC, SCADA e dispositivi industriali con protocolli come Modbus e DNP3. Nessus Professional non ha plugin specifici per protocolli OT. OpenVAS community ha copertura limitata su ambienti OT. Greenbone Enterprise offre plugin specifici per ICS/SCADA tramite feed enterprise, ma la copertura rimane inferiore a Tenable.ot per ambienti industriali complessi con mix di protocolli proprietari.
