Abbiamo testato quattro strumenti leader di gestione delle vulnerabilità su 11 dimensioni. I risultati rivelano un mercato in cui “gestione delle vulnerabilità” significa quattro cose diverse per quattro fornitori. Alcuni costruiscono pipeline di rilevamento CVE-first; altri monitorano la disponibilità delle patch come proxy del rischio; uno delega esplicitamente la scansione a strumenti di terze parti.
Risultati del benchmark sulla gestione delle vulnerabilità
ManageEngine VMP | NinjaOne | Automox | Action1 | |
|---|---|---|---|---|
Accesso alla prova | Self-serve, minuti | Guidato dalle vendite, ore–giorni | Self-serve, 2FA + email aziendale | Self-serve, minuti |
Latenza di rilevamento | 5–6 min (manuale); 90 min auto; ~25h nuovo feed CVE | Inventario: 35s; Correlazione CVE: ~24h | Nessun rilevamento CVE | Windows ≤11 min; Linux: nessun output CVE |
Accuratezza di rilevamento | Feed NVD, indipendente dal catalogo patch | Solo catalogo patch; feed CVE in prova inattivo | Solo catalogo patch; punti ciechi confermati per LibreOffice + Firefox ESR | Windows: pipeline CVE completa; Linux: solo delta versione |
Patch e correzione | 106.973 voci nel catalogo; wizard con rollback + SSP | Struttura policy presente; distribuzione non testata (richiesto Amministratore di Sistema) | Consapevole del Patch Tuesday; importazione CSV da Qualys/Tenable/Rapid7 | Distribuzione in 1 min; P2P LAN; orchestrazione riavvio; takeover di Windows |
Avvisi e notifiche | Nessun canale in uscita, SMTP assente a tutti i livelli | Nessuna categoria Vulnerabilità in Attività; la VM non genera avvisi | Canali multipli dichiarati; non verificati nella console | Email; solo un destinatario; soppressione silenziosa |
Footprint sull'endpoint | 26 MB inattivo (avvio su richiesta) | Picco di 116 MB | Picco di 8,8 MB: il più leggero del gruppo | Stabile a 51,7 MB; media CPU 0,013% |
Copertura tipi di dispositivo | Windows + Linux + macOS; nessun mobile/virtuale | Win/Lin/Mac + iOS/Android + Hyper-V/VMware + monitor cloud | Windows + Linux + macOS; nessun mobile/virtuale | Windows + Linux + macOS; nessun mobile/virtuale |
Principali risultati
- Automox e NinjaOne segnalano vulnerabilità in base alla disponibilità del catalogo patch, non alla corrispondenza CVE-NVD per versione. Se non esiste un aggiornamento nel loro catalogo per una versione software, lo strumento riporta “Nessuna CVE nota” indipendentemente dal numero effettivo di CVE. LibreOffice 7.1.8.1 (100+ CVE documentati) e Firefox ESR 115.12.0 hanno entrambi restituito “Nessuna CVE nota” in Automox per questo motivo. ManageEngine e Action1 usano feed CVE indipendenti e segnalano vulnerabilità indipendentemente dalla disponibilità di una patch.
- Nessuno strumento rileva software installato al di fuori del gestore pacchetti. Binari estratti in
/opt/, compilati da sorgente o distribuiti dai fornitori al di fuori dei loro repository ufficiali sono invisibili a tutti e quattro gli strumenti. ManageEngine e NinjaOne abbinano CVE ai pacchetti elencati in dpkg. Action1 inventaria i pacchetti dpkg ma non restituisce dati CVE per loro su Linux. Automox non ha alcun rilevamento CVE indipendente. - Il modulo VM di NinjaOne non genera avvisi e non ha un modello di report. Il framework di avvisi elenca 13 categorie tra cui Windows Patch Management, Bitdefender e CrowdStrike. Vulnerabilità e CVE non sono tra queste. Il catalogo dei report include un modello Patch Compliance in 10 sezioni ma nessun equivalente per la gestione delle vulnerabilità.
- Automox richiede uno scanner esterno per rilevare CVE. La pagina Remediations importa esportazioni CSV da Qualys, Tenable, Rapid7 o CrowdStrike, quindi abbinano quelle CVE al proprio catalogo patch. Non esegue alcun rilevamento indipendente.
- ManageEngine e Automox non hanno alcun canale di avviso in uscita. ManageEngine non ha configurazione SMTP a nessun livello: impostazioni globali, preferenze per utente o consegna per report. La documentazione web di Automox elenca supporto per Slack, Teams e webhook, ma questo non è stato verificato nella console durante i test.”
- NinjaOne ha disinstallato Automox due minuti dopo averlo installato sulla stessa VM Windows. Il log Attività registrava: “Software disinstallato: ‘Automox Agent’, Utente: System.” La disinstallazione era incompleta: la registrazione del servizio e i file del programma sono rimasti. Su Linux, ManageEngine, Action1 e NinjaOne hanno funzionato contemporaneamente senza che alcun agente rimuovesse un altro.
Metriche misurate
Latenza di rilevamento: Un binario noto vulnerabile è stato installato su un endpoint pulito con il timestamp di completamento installazione registrato al secondo. Il cronometro si è fermato quando la CVE è apparsa nel pannello vulnerabilità del prodotto.
Accuratezza di rilevamento: Software con una storia CVE ben documentata è stato installato su Windows e Linux tramite tre percorsi: MSI/EXE (tracciato da registro), dpkg (gestore pacchetti) e tarball del fornitore estratto in /opt/ (al di fuori del gestore pacchetti).
Footprint sull'endpoint: Tutte le misurazioni hanno usato pidstat a livello di processo per catturare RSS (dimensione set residente) per processo, escludendo la cache pagina a livello cgroup. Le misurazioni Windows hanno usato Get-Counter (\Process(*)\Working Set - Private) campionate ogni 5 secondi su una finestra di 10 minuti. Il motore di scansione su richiesta di ManageEngine è stato misurato separatamente inattivo e durante una scansione attiva. Tutti e quattro gli agenti Linux hanno funzionato contemporaneamente sullo stesso host Ubuntu 24.04; le misurazioni Windows sono state effettuate su una VM separata Windows Server 2022.
Distribuzione patch: Il tempo di distribuzione è stato misurato dal conferma UI al completamento riportato dal prodotto. Lo stato post-distribuzione è stato verificato direttamente sull'endpoint tramite cronologia Windows Update per distinguere “binario scritto su disco” da “patch applicata e attiva” una distinzione importante quando è richiesto un riavvio per completare l'installazione.
Accesso alla prova: Ogni prova è stata tentata prima con un indirizzo Gmail, poi con un indirizzo istituzionale dove Gmail è stato rifiutato. Sono stati contati i passaggi dalla pagina iniziale a una dashboard utilizzabile con installatori agenti visibili. È stato registrato il tempo dal modulo inviato al primo agente connesso.
Consegna avvisi: Una regola di avviso personalizzata è stata creata in ogni prodotto e attivata da un evento di installazione software. Sono stati registrati tempo di consegna e struttura del contenuto email. Dove gli avvisi hanno smesso di funzionare, sono stati ispezionati i log lato agente per identificare la causa.
Migliori strumenti di gestione delle vulnerabilità
1. NinjaOne Vulnerability Management
NinjaOne è una piattaforma UEM/RMM che ha aggiunto un modulo VM a marzo 2026. La sua gestione patch è matura; il livello di rilevamento vulnerabilità non lo è.
Accesso alla prova: NinjaOne è guidato dalle vendite. Dopo aver inviato il modulo prova, la risposta è stata “Ti contatteremo a breve.” L'accesso è arrivato come Tecnico aggiunto a un tenant esistente condiviso (“Hiwell Test Org”) piuttosto che un ambiente isolato fresco.
La schermata di onboarding mostrava immediatamente: “Non hai i permessi per gestire Dispositivi. Contatta il tuo Amministratore di Sistema per aiuto.” La distribuzione dispositivi non era disponibile con il ruolo Tecnico.
Copertura dispositivi: Il menu Aggiungi dispositivo copre più di qualsiasi altro strumento testato: computer (Windows, Linux, Mac), dispositivi mobili (Apple, Android), infrastruttura virtuale (Hyper-V, VMware), monitor cloud (ping, scansione porte, DNS, HTTP/HTTPS), e scoperta di rete. Nessun altro strumento in questo confronto si avvicina.
Dettaglio dispositivo: Ogni dispositivo ha grafici live orari per CPU, memoria, disco e rete accanto a un inventario hardware completo.
La sezione Dettagli elenca porte aperte inline: RDP su 3389, SMB su 445 e altre 10 erano visibili senza eseguire una scansione separata.
Il menu Strumenti fornisce Registro remoto, Task Manager, Browser file e Gestione servizi accessibili dal browser, tutti live. Il desktop remoto completo richiede un download separato del client nativo.
Rilevamento CVE: L'inventario software ha rilevato Firefox entro 35 secondi. La scheda Vulnerabilità mostrava 0 risultati al minuto 5, al minuto 30 e al minuto 3, su entrambi i dispositivi Windows e Linux e con tutti i filtri cancellati. Il file lato agente della lista CVE è rimasto di 44 byte dal momento dell'installazione per oltre 5 ore, invariato.
La correlazione CVE lato server non è mai stata attivata durante la prova. Se questo riflette una restrizione del livello prova o un requisito di configurazione non soddisfatto non è stato possibile determinarlo. La scheda Vulnerabilità si è popolata con 85 CVE circa 24 ore dopo l'installazione agente, con la colonna Fonti che mostrava “NinjaOne Patching” il proprio catalogo patch, non l'NVD.
Integrazione avvisi: La sezione policy Attività elenca 13 categorie di avviso: Bitdefender, CrowdStrike, SentinelOne, Webroot, ImageManager, Backup, ShadowProtect, Software, System, User, Windows, Windows Patch Management e Raid. Non esiste una categoria Vulnerabilità o CVE. Il modulo VM non produce avvisi.
Reporting: Il catalogo dei modelli report include un modello Patch Compliance con 10 sezioni che coprono patch non riuscite, patch in sospeso, percentuali di patch installate e abilitazione patch OS. Non esiste un modello Gestione delle vulnerabilità.
Comportamento agente verso altri strumenti: NinjaOne si è registrato sulla VM Windows di test. Alle 11:31, il log Attività registrava: “Software disinstallato: ‘Automox Agent’, Versione: ‘2.5.70’, Utente: ‘<System>'” due minuti dopo la registrazione, tramite un'azione di sistema automatizzata. La rimozione era incompleta; vedi Principali risultati per dettagli.
Footprint sull'endpoint: Memoria picco agente Linux: 116 MB. Windows: quattro processi per un totale di circa 127 MB di set di lavoro, 92 secondi di CPU su tre ore.
NinjaOne è una piattaforma UEM/RMM che ha aggiunto un modulo VM. Il livello inventario software dell'agente funziona bene; il livello correlazione CVE dipende dall'elaborazione lato server che era inattiva durante il periodo di prova.
Differenze principali:
- L'inventario software è accurato e veloce: Firefox 115.12.0 è apparso nella dashboard entro 35 secondi dall'installazione
- La correlazione CVE era inattiva durante tutti i test. Il file
NinjaWPM-cve-patch-list.jsonè rimasto di 44 byte per oltre 5 ore; la scheda Vulnerabilità si è popolata con 85 CVE circa 24 ore dopo l'installazione agente — incoerente con il posizionamento “in tempo reale alimentato da AI” - Supporto più ampio per tipi di dispositivo: Windows, Linux, macOS, iOS, Android, Hyper-V, VMware, monitoraggio ping cloud e scoperta di rete
- Il modulo VM non genera avvisi (nessuna categoria “Vulnerabilità” nel framework avvisi Attività) e non ha un modello di report dedicato
- Su Windows, l'agente ha rimosso Automox 2 minuti dopo l'installazione tramite una regola di politica Windows Server, lasciando file orfani; nessun comportamento equivalente su Linux
2. ManageEngine Vulnerability Manager Plus
ManageEngine VMP è l'unico scanner di vulnerabilità dedicato in questo confronto. Il rilevamento funziona indipendentemente dalla disponibilità della patch; le vulnerabilità sono riportate anche quando non esiste una patch.
Accesso alla prova. Self-serve, nessun contatto vendite richiesto. Il modulo di registrazione accetta Gmail. Dopo l'invio, la dashboard si carica immediatamente con un contatore di 30 giorni. Appare un modale richiesta demo ma ha un pulsante Salta visibile non è un muro. L'interfaccia si carica in turco in base all'indirizzo IP, l'unico strumento in questo confronto con localizzazione non in inglese. L'istanza regione UE è assegnata automaticamente.
Onboarding: La schermata Iniziare mostra quattro passaggi di flusso di lavoro: Prerequisiti, Impostazioni Patch, Distribuzione e Flusso di lavoro Gestione Patch. Tre su quattro sono focalizzati sulla patch. L'impostazione è rileva-poi-patch, non rilevamento in tempo reale.
Dashboard: Si apre su una scheda Vulnerabilità con una Matrice Età Vulnerabilità: bucket gravità × età che mostra da quanto tempo i risultati sono aperti. Un feed Ultime notizie sulla sicurezza preleva avvisi sulla sicurezza dei fornitori live nel pannello destro.
La vista Sistemi (pannello sinistro) segmenta i dispositivi per stato operativo: Altamente vulnerabili, Vulnerabili, Sani, Riavvio in sospeso, Distribuzione patch non riuscita, Sistemi senza contatto agente, Sistemi EOL e Zero-day trovati. Il dispositivo è apparso nell'elenco entro secondi dall'installazione agente.
La scansione iniziale esegue due passaggi. Un banner conferma che vengono mostrati risultati limitati prima; la scansione completa termina entro minuti. Le patch mancanti sono aumentate da 0 a 8 tra i due passaggi.
Dettaglio dispositivo: La vista dettaglio dispositivo copre più terreno di qualsiasi altro strumento testato.
La scheda Riepilogo mostra quattro grafici a torta di Gravità minaccia fianco a fianco: Patch, Vulnerabilità software, Misure errate di sistema e Misure errate server web. Il punto finale Windows Server 2022 di prova mostrava 7 patch mancanti, 28 vulnerabilità software e 54 misconfigurazioni.
La scheda Software & Componenti elenca ogni componente installato con conteggi di Patch mancanti, Patch installate e Vulnerabilità per riga. Windows Server 2022 stesso aveva 16 vulnerabilità; Curl per Windows, fornito con l'immagine OS, non installato dall'utente, aveva 10.
La scheda Vulnerabilità è un elenco a livello CVE con Stato sfruttamento, Disponibilità patch, Punteggio CVSS 3.0, Versione rilevata, Data pubblicazione e Data supporto per riga. I punteggi CVSS variavano da 4,3 a 9,9 sul punto finale base.
La scheda Patch categorizza le patch mancanti in Aggiornamenti di sicurezza, Opzionali, Terze parti, Driver, Service Pack e BIOS, con azioni Installa/Pubblica Patch e Rifiuta Patch inline.
La scheda Config sicurezza è un elenco di controllo di indurimento in stile CIS/STIG. Ogni riga correggibile ha un link “Distribuisci configurazione sicura” i risultati si collegano direttamente a correzione in un clic. Il punto finale di prova aveva 30 elementi, tra cui TLSv1.1 abilitato, BitLocker disabilitato, Windows Firewall non rilevato, soglie blocco account non configurate e livello autenticazione LAN Manager misconfigurato.
La scheda Audit porte mappa ogni porta aperta al binario responsabile con percorso eseguibile completo. La porta 3389 mappa a svchost.exe, la porta 445 a ntoskrnl.exeChrome ed Edge sono elencati separatamente su 5353.
Vista Minacce flotta: Le minacce di navigazione coprono otto sottosezioni su tutta la flotta.
Le viste Vulnerabilità e CVE rilevate mostrano punteggi CVSS 3.0 e CVSS 2.0 in colonne parallele. Il prodotto preserva il CVSS 2.0 legacy per le organizzazioni che ancora lo usano come baseline.
Le Misure errate di sistema aggregano lacune di indurimento su tutta la flotta con un'azione “Distribuisci configurazione sicura” per riga.
Il software ad alto rischio traccia le date di fine vita. Windows Server 2022 è apparso con la sua data EOL del 13 ottobre 2031 e un contatore residuo di 1.990 giorni.
Gestisci eccezioni permette di accettare minacce specifiche per gruppo di dispositivi. Nessuna eccezione è stata definita nei test; l'infrastruttura è presente.
Sezione Patch: La barra laterale sinistra mostra conteggi live: Mancanti 9, Installati 3, Applicabili 12, Supportati 106.973, Ultimi 2.195. Ogni pagina patch ha link rapidi inline con Come fare, Knowledge Base e FAQ documentazione incorporata nel flusso di lavoro piuttosto che accessibile separatamente.
Il catalogo Patch supportate copre 106.973 voci da Adobe, Microsoft, Mozilla, Splunk, Oracle e altri. La vista Patch recenti mostra 2.195 voci aggiunte di recente ordinate per data di rilascio. Rifiuta patch blocca patch specifiche per gruppo di dispositivi. Carica in sospeso accetta patch personalizzate per software al di fuori del catalogo.
Distribuzione patch: Il wizard di distribuzione copre: operazione Installa vs Disinstalla (rollback integrato), Distribuisci direttamente vs Pubblica al Portale Self Service, selettore policy distribuzione, data “Forza distribuzione dopo” per applicazione SLA e targeting mirato per Ufficio remoto e singolo computer.
Un aggiornamento definizione Defender è stato distribuito nel test, completato con Stato: Riuscito e Osservazioni: “Questa versione esiste già.” Il prodotto ha rilevato che la patch era già stata applicata e non l'ha reinstallata. Il tentativo automatico in caso di errore predefinito è di 2 tentativi.
Gestione flotta agenti. La sezione Agente mostra lo stato di salute della flotta agenti, inclusa aggiornamento versione, ultimo contatto, stato sincronizzazione AD, gestione ufficio remoto e policy computer inattivi.
Footprint sull'endpoint: Cinque processi inattivi, RAM inattiva combinata circa 83 MB. Il motore scansione dcpatchscan si avvia solo durante le scansioni non visibile inattivo. Durante una scansione, ha consumato circa 160 MB di RAM e il 100% di un core CPU su Windows, rispetto a circa 144 MB e il 16% di un core su Linux. Il design su richiesta significa che il footprint inattivo rimane ben al di sotto delle basi continue di NinjaOne (116–127 MB) e Action1 (51 MB).
Latenza di rilevamento: Scansione manuale ora: da 5 a 6 minuti. Ciclo automatico: fisso a 90 minuti, non configurabile dall'utente. Le nuove voci feed CVE si propagano in massimo 25 ore (sincronizzazione DB giornaliera più un ciclo di aggiornamento di 90 minuti). La pagina Admin > Impostazioni agente non ha campo intervallo aggiornamento; le richieste di aggiungerlo sono rimaste aperte sul forum ufficiale senza risoluzione.
Avvisi e notifiche: Non esiste alcun canale di avviso in uscita a nessun livello: nessun SMTP in Impostazioni globali, nessuna preferenza notifica per utente, nessuna pianificazione report o consegna email. La pagina Audit > Avvisi registra eventi interni (perdita contatto agente, patch non riuscite, nuovi endpoint) ma non può instradarli esternamente.
Reporting: 16+ report predefiniti in sei categorie (Patch, Sistema, APD, Configurazione, SSP, Minaccia). Nessun costruttore report personalizzato. Disponibili selezione colonne e filtri all'interno dei report predefiniti. Nessun preset intervallo date. Esporta: PDF, CSV, XLSX. Un modale avviso GDPR richiede conferma prima di ogni esportazione. Nessuna consegna pianificata o via email.
Differenze principali:
- 11 moduli in un singolo prodotto: Valutazione vulnerabilità, Conformità, Gestione patch, Scansione dispositivi di rete, Gestione configurazione sicurezza, Mitigazione zero-day, Indurimento server web, Audit software ad alto rischio, Audit antivirus, Audit porte e Reporting
- Catalogo patch da 106.973 voci; opzioni di distribuzione cloud e on-premise; istanza SaaS regione UE
- Il ciclo di scansione automatico è fisso a 90 minuti e non è configurabile dall'utente (richieste funzionalità sul forum irrisolte); il nuovo feed CVE impiega fino a 25 ore per propagarsi (sincronizzazione DB + un ciclo di aggiornamento)
- Nessun canale di avviso in uscita: SMTP è assente a ogni livello di configurazione
3. Automox
Automox è una piattaforma di automazione patch, non uno scanner di vulnerabilità. La sua capacità di gestione delle vulnerabilità è costruita intorno all'importazione dell'output dello scanner da Qualys, Tenable, Rapid7 o CrowdStrike piuttosto che eseguire un rilevamento CVE indipendente.
Accesso alla prova: Prova di 15 giorni, nessuna carta di credito richiesta. Gmail è rifiutato un'email aziendale è obbligatoria. Dopo l'invio, il flusso aggiunge due passaggi extra prima della dashboard: una schermata di accesso separata e 2FA obbligatorio via email. Il minimo password è di 12 caratteri, il più rigoroso dei quattro strumenti. Singola istanza globale su console.automox.com, nessuna opzione regionale.
Installazione agente: Il modale Aggiungi dispositivi mostra UUID chiave accesso, un menu a discesa OS, un pulsante Scarica installatore e la riga di comando equivalente per installazione silenziosa: Automox_Installer-2.5.70.msi ACCESSKEY=<uuid>. Un singolo binario, una singola chiave, il flusso di installazione più semplice dei quattro strumenti testati.
L'installatore esegue un controllo salute post-installazione inline prima di chiudersi: avvio servizio, test daemon, report IRS (Servizio risultato installazione). Non si chiude finché non conferma “Configurazione riuscita!” eliminando l'ambiguità se l'agente si è effettivamente connesso.
Il dispositivo è apparso nell'elenco Dispositivi entro 1-2 minuti con un tag “Aggiunto di recente”.
Dettaglio dispositivo: Il dettaglio dispositivo ha quattro schede: Riepilogo, Salute, Rete e Sistema. Nessuna policy assegnata all'installazione; l'agente è stato registrato al gruppo Predefinito senza alcuna pianificazione patch collegata. ManageEngine applica automaticamente un ambito scansione predefinito; Automox richiede assegnazione policy esplicita prima che qualcosa venga eseguito.
Inventario software e linguaggio gravità: L'elenco Software a livello dispositivo usa valori Gravità presi in prestito dal catalogo Microsoft Update: Critico, Sconosciuto o “Nessuna CVE nota.” Non esiste punteggio CVSS NVD. La colonna Ultima versione è vuota per tutte le righe; Automox traccia se esiste un aggiornamento, non la versione upstream. Giorni esposti misura da quanto tempo un patch è in sospeso, non da quanto tempo è passato dalla pubblicazione di una CVE.
Dashboard: Il KPI principale è la matrice Conteggio patch in sospeso: righe gravità (Critico / Alto / Medio / Basso / Sconosciuto) × colonne età (90+ giorni, 61-89, 31-60, 16-30, ≤15 giorni). Risoluzione problemi dispositivo segnala: Richiede riavvio, Tentativi aggiornamento non riusciti, Disconnesso da 30+ giorni, Non compatibile. Nessun conteggio CVE, nessun punteggio gravità vulnerabilità da nessuna parte nel dashboard.
Architettura policy: Tre tipi di policy: Policy patch (con sottotipi Avanzato, Patcha tutto, Patcha tutto tranne, Patcha solo, Approvazioni manuali, Gravità), Policy software richiesto e Worklet. Non esiste un tipo di policy Scansione vulnerabilità o basata su CVE. La sezione Pianificazione offre un pulsante radio Patch Tuesday che si allinea auto-maticamente al ciclo di rilascio del secondo martedì di Microsoft.
Catalogo Worklet: I Worklet sono template script shell per compiti di configurazione. Le categorie sono Preferenze di sistema, Sicurezza e Ciclo di vita software. Non esiste una categoria Vulnerabilità.
Pagina Remediations: il segnale architettonico principale. La pagina Remediations sotto Automatizza ha un'azione: Importa. Il filtro Provider CSV elenca Report generico, CrowdStrike, Qualys, Rapid7 e Tenable Vulnerability Management. Le colonne della tabella sono Vulnerabilità correggibili, Vulnerabilità non corrispondenti e Dispositivi sconosciuti. Automox mappa l'output di uno scanner di terze parti al proprio catalogo patch e mostra quali CVE può correggere. Non esegue il proprio rilevamento CVE.
Gestisci > Software: inventario flotta globale. La vista Software a livello flotta aggiunge un filtro “Vulnerabilità o ID CVE”, confermando che i dati CVE esistono nel sistema a qualche livello. Tuttavia, la colonna Gravità mostra ancora categorie KB-meta, non punteggi CVSS. Sono disponibili colonne Giorni esposti, Ignorati e Interessati per triage a livello flotta.
Agente Linux: L'agente Linux ha inventariato 746 pacchetti. L'elenco Software mostra Versione installata, Versione disponibile, Giorni esposti, Gravità, Lista KEV e colonne EPSS. Le colonne KEV ed EPSS sono vuote per tutte le voci; le colonne esistono nello schema ma non sono popolate. La Gravità riflette il segnale del catalogo patch, non l'NVD.
Punti ciechi catalogo patch: Firefox ESR 115.12.0 su Windows mostrava Installato 115.12.0, Disponibile 140.10.2, Giorni esposti 9, Gravità “Nessuna CVE nota” circa 25 versioni rilasciate e migliaia di CVE separano questi due, ma il catalogo non ha segnale CVE per quel gap di versione. LibreOffice 7.1.8.1 su Linux (14 pacchetti installati, 100+ CVE documentati NVD) mostrava tutti i pacchetti come “Installati” con Versione disponibile vuota e Gravità vuota. Il fornitore è saltato dal ramo 7.1 alla serie 24.x, quindi non esiste una voce aggiornamento nel catalogo, e lo strumento non restituisce segnale di vulnerabilità.
Footprint sull'endpoint: Picco agente Linux: 8,8 MB, il più leggero dei quattro strumenti testati, nonostante nessuna affermazione di marketing sul footprint. Il footprint Windows non è stato misurato: la policy di NinjaOne ha rimosso l'agente Automox 2 minuti dopo che NinjaOne si è registrato sulla stessa VM, quindi nessuna baseline Windows è stata catturata.
Differenze principali:
- Automatizza → Remediations: accetta esportazioni CSV da Qualys, Tenable, Rapid7, CrowdStrike o un formato generico; mappa CVE a elementi correggibili e mostra conteggi Correggibili vs. Non corrispondenti
- I tag gravità sono presi in prestito dalle classificazioni del catalogo Microsoft Update (Critico / Sconosciuto / Nessuna CVE nota), non dai punteggi CVSS NVD
- Il rilevamento basato su catalogo patch produce punti ciechi sistematici: LibreOffice 7.1.8.1 e Firefox ESR 115.12.0 hanno entrambi restituito “Nessuna CVE nota” nonostante avessero centinaia di CVE documentati, perché non esiste un aggiornamento catalogo per quei rami versione
- Agente più leggero del gruppo a 8,8 MB picco su Linux — nonostante non faccia alcuna affermazione di marketing sul footprint
- Tipi di policy: Policy patch (con pianificazione consapevole del Patch Tuesday), Policy software richiesto e Worklet (template script shell/PowerShell)
- La prova richiede un indirizzo email aziendale; Gmail rifiutato
4. Action1
Action1 è un RMM cloud-native con una pipeline di vulnerabilità Windows capace. Su Linux, inventaria i pacchetti e traccia i delta versione ma non produce output CVE. I comportamenti per i due sistemi operativi sono architettonicamente diversi e devono essere valutati separatamente.
Accesso alla prova: Self-serve, Gmail accettato, nessun contatto vendite. Dopo l'invio modulo, un codice di conferma arriva via email; inserendolo si atterra direttamente nella dashboard con installatori agenti pronti. Nessun wizard onboarding, nessun modulo richiesta prova, nessun periodo di attesa.
Installazione agente Windows: L'installatore è di 6,9 MB e completa in 67 secondi. Un'email di conferma arriva immediatamente dopo, e il pannello mostra: “L'agente è stato installato con successo. Il tuo endpoint è ora connesso al cloud Action1.”
Installazione agente Linux: L'agente Linux è di 2,3 MB (.deb) e si installa in 5-6 secondi tramite un singolo comando curl + apt. L'ID org è incorporato nel pacchetto; non è necessaria alcuna configurazione post-installazione. Sono offerti tre percorsi di distribuzione: Interattivo (per nuovi utenti), Non assistito e Diretto. È disponibile anche RPM per sistemi famiglia Red Hat. Dopo l'installazione, l'agente ha rilevato un aggiornamento kernel in sospeso e ha correttamente segnalato l'endpoint Linux come ‘Riavvio richiesto’ leggendo lo stato OS specifico della distribuzione invece di applicare logica Windows a Linux.
Dashboard: Senza alcun trigger di scansione manuale, 114 vulnerabilità e 3 aggiornamenti mancanti sono apparsi entro minuti dal collegamento dell'agente Windows. Il dashboard si concentra su due widget di triage: un indicatore di conformità correzione vulnerabilità con bande SLA (Critico: 1-7 giorni, Alto: 8-30 giorni, Medio: 31-90 giorni, Basso: 90+ giorni) e una matrice scadenza correzione vulnerabilità che mostra gravità × stato in ritardo SLA. Lo stesso layout è ripetuto per gli aggiornamenti. Appare anche un banner di marketing free-tier e pulsanti condivisione social sul dashboard.
Elenco vulnerabilità e priorizzazione CVE: La pagina Vulnerabilità mostra ID CVE, Punteggio CVSS, flag CISA KEV, Data pubblicazione, Stato correzione, Software vulnerabile (con percorso versione completo) e conteggio endpoint interessati. CISA KEV è una colonna di prima classe che evidenzia CVE attivamente sfruttati nel mondo reale, un segnale di triage più forte del solo CVSS. EPSS è assente.
Pannello dettaglio CVE: Ogni CVE apre un pannello laterale con tre schede: Endpoint (macchine interessate con pulsante Inizia correzione), Software vulnerabile (software interessato per piattaforma) e Dettagli. La scheda Dettagli include punteggio base CVSS, punteggio impatto, punteggio sfruttamento, suddivisione sottovettore CVSS in forma leggibile, flag associazione ransomware, link multi-sorgente (NVD, NVD++ tramite VulnCheck, avviso fornitore) e una scadenza correzione auto-calcolata in base alla gravità. Le CVE Critiche hanno un SLA di 7 giorni; Medio-Alto hanno 30 giorni, calcolati retroattivamente dalla data pubblicazione CVE.
Latenza di rilevamento: Firefox ESR 115.0esr è stato installato con flag silenzioso, e il timestamp completamento installazione è stato registrato al secondo. L'agente ha caricato l'inventario software sul cloud a T+4 minuti 33 secondi; il cloud ha riconosciuto 1 secondo dopo; l'elenco Vulnerabilità è stato popolato con CVE Firefox entro 11 minuti dall'installazione. L'agente usa un intervallo polling di 5 minuti. L'etichetta marketing “in tempo reale” è inaccurata; “quasi in tempo reale / polling ogni 5 minuti” è la descrizione corretta. Non è richiesto alcun trigger di scansione manuale, che lo differenzia dagli strumenti a scansione programmata.
Rilevamento CVE Linux (assente): Un pacchetto Firefox ESR 102.15.1 deliberatamente vulnerabile (EOL da settembre 2023, 50+ CVE non patchati) è stato installato tramite dpkg. L'agente ha rilevato l'installazione entro 66 secondi e inviato la versione corretta al cloud. Il payload cloud mostrava: "CVE": "", "Security Severity": "Unspecified". La pagina Vulnerabilità mostrava “Nessun software vulnerabile.” La stessa versione Firefox su Windows produceva 11+ CVE con punteggi CVSS da 9,8 a 10. L'agente Linux di Action1 è un tracker delta versione: registra versione installata, versione più recente e disponibilità aggiornamento, ma non esegue alcuna ricerca nel database CVE per pacchetti Linux.
Distribuzione patch: Esistono due flussi paralleli. Il flusso guidato da vulnerabilità va: dettaglio CVE > Inizia correzione > wizard in 3 passi. Sono disponibili tre strategie: Distribuisci aggiornamenti, Disinstalla software e Documenta controlli compensativi. Il terzo è notevole; permette di documentare l'accettazione del rischio per software che non può essere patchato. Il flusso guidato da aggiornamento tramite Approvazione aggiornamento aggiunge condivisione file P2P LAN per filiali, orchestrazione riavvio (riavvio automatico con popup configurabile rivolto all'utente e timeout) e l'opzione di disabilitare completamente gli aggiornamenti nativi Windows in modo che solo patch approvate da Action1 vengano distribuite. Queste capacità esistono solo nel flusso guidato da aggiornamento; il wizard guidato da vulnerabilità non le offre.
Tempo distribuzione patch per KB5082142: 1 minuto da Esegui ora a stato Successo. Tuttavia, “Successo” nel motore automazione significa che il binario è stato scritto su disco, non che la patch è attiva. Senza un riavvio, la pagina Vulnerabilità continuava a mostrare la CVE patchata come Scaduta perché il sistema operativo non aveva ancora applicato il cambiamento. Il motore automazione ha etichettato l'operazione come successo; lo scanner vulnerabilità continuava a mostrare la CVE come Scaduta il comportamento corretto, poiché la patch richiede un riavvio per avere effetto. Dopo il riavvio, la CVE è stata rimossa dall'elenco.
Avvisi e notifiche: Gli avvisi sono costruiti sopra i report: un utente si iscrive a cambiamenti (Creati / Eliminati / Modificati) nei dati di un report nominato. Le email avviso arrivano velocemente e includono campi strutturati: Fornitore, Versione, Tipo installazione e Installato per. Il campo destinatario accetta un solo indirizzo email; non esistono canali Slack, Teams o webhook. Esiste un meccanismo di soppressione silenziosa: dopo l'N-esimo trigger della stessa regola entro una finestra temporale, la regola smette di funzionare senza alcuna indicazione UI. Lo stato di soppressione è visibile solo nel log locale dell'agente. Gli utenti in attesa di avvisi dopo che la soglia di soppressione è stata superata non hanno modo di scoprirne la causa dall'interfaccia.
Footprint sull'endpoint: Misurato su 10 minuti durante un ciclo di installazione Firefox, scansione e valutazione avvisi: media CPU 0,013%, picco CPU 1,56% al momento del ciclo polling, RAM stabile a 51,7 MB con banda di 0,14 MB su tutta la finestra, IO disco quasi zero tranne brevi scritture cache scansione. L'affermazione “impatto zero sull'endpoint” è supportata dalla misurazione. Test di carico sintetico pesante non eseguiti.
Reporting: Il costruttore report offre due tipi (Riepilogo con raggruppamento, Semplice per tabelle piatte), selezione colonne, passaggio filtro, consegna pianificata, Iscriviti, esporta CSV ed esporta PDF. Cinque categorie report integrate includono Gestione vulnerabilità con cinque sottoreport: Seleziona vulnerabilità, Tutte le vulnerabilità critiche, Controlli compensativi documentati, Vulnerabilità note sfruttate, Riepilogo vulnerabilità. Tutti sono viste dello stato attuale. Non esiste un report integrato “CVE risolti nel tempo” o “Cronologia patch per CVE”. Una CVE patchata è rimossa dall'elenco; non passa a uno stato risolto. Ricostruire quale CVE è stata chiusa in quale data richiede incrociare manualmente la Cronologia automazione, che stessa ha un problema di inquinamento cronologia da voci duplicate Esegui ora.
Differenze principali:
- Rilevamento Windows in ≤11 minuti dall'installazione agente (polling ogni 5 minuti); caricamento installazione-al-cloud misurato a 4 minuti 33 secondi
- Pannello dettaglio CVE: CVSS + flag CISA KEV + associazione ransomware + SLA basato su gravità (Critico 7 giorni, Medio/Alto 30 giorni, auto-calcolato dalla data pubblicazione) + link multi-sorgente (NVD, NVD++, avviso fornitore)
- Agente Linux: 2,3 MB .deb, installa in 5–6 secondi, auto-abilitato systemd; disponibile anche RPM. Inventaria pacchetti dpkg in ~66 secondi ma non produce output CVE; il payload agente restituisce
"CVE": "", "Security Severity": "Unspecified". Installare Firefox 102 EOL su Linux lasciava l'elenco Vulnerabilità vuoto. - Footprint agente verificato da pidstat: 51,7 MB stabile, media CPU 0,013% , picco 1,56% durante scansione
- Notifiche avvisi limitate a un singolo indirizzo email; nessun Slack, Teams o webhook; le regole avviso smettono silenziosamente di funzionare dopo N trigger senza indicazione UI
- Reporting: Costruttore personalizzato + 5 categorie sottoreport VM (Seleziona / Critiche / Compensativi / KEV / Riepilogo) + Pianifica + Iscriviti; nessun report integrato “CVE risolti nel tempo”
Metodologia
Endpoint: Windows Server 2022 Standard 21H2 (Build 20348.3207) e Ubuntu 24.04.4 LTS (kernel 6.8.0-111). Tutti e quattro gli agenti hanno funzionato contemporaneamente sull'host Linux. Su Windows, NinjaOne e Automox sono stati installati sequenzialmente sulla stessa VM.
Software vulnerabile: Firefox ESR 115.12.0, 7-Zip 19.00, Edge 148 (Windows); Node.js 18.19.1, vsftpd 3.0.5, Apache 2.4.58, LibreOffice 7.1.8.1, /opt/firefox-115.0esr/ tarball fornitore (Linux).
Misurazione: pidstat (RSS a livello processo e CPU), Get-Counter (contatori prestazioni Windows), pywinrm e paramiko (esecuzione comando remoto). Metriche a livello cgroup escluse per evitare inflazione cache pagina.
Portata: macOS escluso. I test hanno seguito la sequenza: onboarding prova → installazione agente → dashboard iniziale → dettaglio dispositivo → policy/scansione → inventario vulnerabilità → flusso patch → configurazione avvisi → prestazioni endpoint → reporting.
FAQ
Gli strumenti di gestione delle vulnerabilità rilevano vulnerabilità software e del sistema operativo su endpoint gestiti, le priorizzano per gravità e collegano i risultati ai flussi di lavoro patch. L'obiettivo è ridurre la finestra tra la pubblicazione di una CVE e la patch della versione interessata.
In pratica, questi strumenti differiscono sostanzialmente nel modo in cui rilevano le vulnerabilità. Alcuni interrogano direttamente l'NVD; altri inferiscono il rischio dalla disponibilità del catalogo patch. Questa differenza architettonica determina cosa possono e non possono trovare.
Cita questa ricerca
Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.
@misc{dogan2026,
author = {Dogan, Sedat and Sezer, Sena},
title = {{Migliori strumenti di gestione delle vulnerabilità}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/vulnerability-management-tools}},
note = {AIMultiple. Consultato il 2 Giugno 2026}
}








































Sii il primo a commentare
Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.