Oltre 100.000 installazioni in tutto il mondo, con la sola eccezione geografica di Cina, Corea del Nord e Iran, è il numero che usa Riccardo Caflisch, Regional Director Southern Europe & Balkans, per presentare Greenbone, che definisce “l'unica soluzione di vulnerability management 100% europea, 100% open source e 100% on-premise”. Caflisch e Andrea Muzzi, Presales Consultant di OpenVAS (Gruppo Greenbone), hanno sfruttato l’appuntamento del Security Summit Milano 2026 per raccontare la storia, il posizionamento e l’approccio tecnico dell'azienda che ha da poco fatto il suo esordio in Italia.

L’azienda ha origine nel 2005, L’azienda ha origine nel 2005,  fornendo la soluzione in una logica di progetto per la BSI (Bundesamt für Sicherheit in der Informationstechnik, l'equivalente tedesco dell'ACN italiana). Nel 2008 l’istituzione germanica chiese di trasformare quel progetto in un prodotto strutturato, con supporto, manutenzione e sviluppo continuativo, e nacquero così la community di OpenVAS, interamente open source, e contestualmente Greenbone, la sua componente enterprise. Greenbone ha aperto la legal entity italiana l'anno scorso e opera nel nostro territorio sia in modalità diretta che attraverso il canale. La direzione futura è dichiaratamente channel oriented. Il volume d’affari sta già crescendo in maniera importante.

Riccardo Caflisch, Regional Director Southern Europe & Balkans di Greenbone

Il tema della sovranità tecnologica

Nel contesto attuale, in cui il tema della digital repatriation sta accelerando in tutta Europa, il posizionamento di Greenbone acquisisce un valore aggiunto difficile da replicare: “siamo l'unica soluzione per il vulnerability management 100% europea», evidenzia Caflisch, aggiungendo che l'azienda è anche interamente privata e indipendente. Questa combinazione ha la conseguenza diretta e concreta di essere “completamente agnostica nella scelta delle vulnerabilità da testare e da riconoscere. Ci focalizziamo sul prodotto, non sugli investitori o sugli azionisti”, senza pressioni esterne, dipendenza da normative extraeuropee come il Cloud Act americano, senza rischio di backdoor.

La diffusione di OpenVAS a livello globale è la prova empirica di questa credibilità e la sua presenza capillare nelle infrastrutture governative e nelle grandi aziende di tutto il mondo, incluso il contratto quadro con il BSI stesso, è la migliore referenza possibile per un prodotto che si propone come strumento di sicurezza di Stato. Inoltre, circa il 75% del personale di Greenbone ha profilo tecnico: un dato che riflette la vocazione profondamente ingegneristica dell'azienda e la sua partecipazione attiva alle community internazionali di sicurezza, inclusa la collaborazione con i CERT e CSIRT nazionali europei.

Andrea Muzzi, Presales Consultant di OpenVAS (Gruppo Greenbone)

La piattaforma: da OpenVAS Community a OpenVAS Enterprise

Andrea Muzzi, Presales Consultant di OpenVAS illustra l'articolazione dell'offerta. La versione di ingresso è OpenVAS BASIC, che è anche la più scaricata e utilizzata, pensata per chi vuole avvicinarsi alla soluzione. La versione enterprise, OpenVAS SCAN, aggiunge il supporto tecnico diretto e soprattutto i feed aggiornati quotidianamente, ossia “quegli script che permettono di fare analisi di vulnerabilità in maniera molto accurata”. La reportistica è uno degli elementi distintivi: altamente personalizzabile, copre sia il livello tecnico profondo che quello business e può essere distribuita via mail, su repository o direttamente verso un SIEM esterno. Per chi gestisce reti distribuite e complesse, OpenVAS REPORT offre una dashboard centralizzata che aggrega i dati provenienti da più scanner, dando una visione unificata dell'intera infrastruttura.

Un elemento architetturale che Caflisch tiene a sottolineare riguarda il modello di deployment: “non lavoriamo in cloud. Siamo un'azienda totalmente on-premise”. La scelta è una posizione di principio, perché “avere una soluzione di vulnerability management che non sia on-premise significherebbe già avere un possibile buco della sicurezza come peccato originale”. In passato esisteva un servizio cloud e i clienti che lo utilizzavano vengono mantenuti, ma la direzione è chiaramente l’on-premise, nelle versioni appliance hardware fisico oppure come immagine per ambienti virtuali, compatibile con qualsiasi hypervisor. Funziona anche in modalità air gap, cioè in reti completamente isolate dall'esterno, che è un requisito fondamentale per ambienti governativi, militari e infrastrutture critiche.

Oltre a rilevare le vulnerabilità, il valore operativo di Greenbone è aiutare le aziende a capire quali falle affrontare per prime. Caflisch descrive la combinazione di due sistemi di valutazione complementari: il CVSS (Common Vulnerability Scoring System), che “fornisce la fotografia dei problemi in essere” e assegna un punteggio di gravità a ciascuna vulnerabilità rilevata. Il secondo è l'EPSS (Exploit Prediction Scoring System), che fa capire invece “quale minaccia, tra quelle in essere, può essere sfruttata nei prossimi 30 giorni”. La combinazione dei due trasforma un elenco di vulnerabilità in un piano d'azione concreto, in cui per esempio un alto valore del CVSS ma un bassissimo valore EPSS può determinare una priorità inferiore; un basso valore CVSS ma un altissimo valore EPSS prioritizza la minaccia come rischio immediato.

Il principio alla base è quello della consapevolezza come primo strumento di difesa, perché non tutte le vulnerabilità possono essere risolte immediatamente: alcune non hanno ancora una remediation disponibile, altre dipendono da cicli di aggiornamento del sistema operativo che l'azienda non controlla. “Essere consapevoli che c'è una vulnerabilità è importante”, spiega Caflisch, usando l'esempio di un AS/400 ancora in produzione che un'azienda non può spegnere per timore che non si riavvii. “Proteggersi a prescindere, senza sapere dove posizionare le difese o dove impegnare le risorse non dà garanzie. Con il vulnerability assessment e il vulnerability management noi aiutiamo a fare in modo che un'azienda abbia tutti gli elementi utili per organizzare le proprie difese in modo efficace e consapevole”.

C'è una dimensione del lavoro di Greenbone che va oltre la scansione reattiva, e che Caflisch descrive come attività di ricerca etica nelle zone più oscure del web. “Lavoriamo in forum come Reddit, ma anche in ambienti molto più profondi del dark web, a livello di investigazione etica. Cerchiamo di annusare letteralmente la minaccia prima che venga sviluppata” e quando viene identificata, si conducono test, analisi e, se si conferma reale, viene inserita nei feed. Il risultato è un dato significativo: il 34% delle minacce è già presente nei feed Greenbone prima che venga pubblicata ufficialmente. “Uno su tre è tantissimo”, sottolinea Caflisch, "considerando la velocità con cui le minacce vengono sviluppate e sfruttate".