La risposta breve
« Wazuh o OpenVAS » è una delle ricerche più frequenti nella sicurezza open source e si basa su una premessa falsa. Non sono concorrenti. Appartengono a categorie di strumenti diverse e rispondono a domande diverse.
In una frase: Wazuh è un SIEM che vi dice cosa sta accadendo sui vostri sistemi in questo momento; OpenVAS è uno scanner di vulnerabilità che vi dice cosa potrebbe essere sfruttato prima che accada. La maggior parte degli stack di sicurezza maturi usa entrambi, e Wazuh può persino acquisire i risultati di OpenVAS.
Distribuiamo e gestiamo entrambi gli strumenti in ambienti di produzione per clienti in tutta Europa e oltre. Questo è il confronto che avremmo voluto trovare quando ci chiedono quale scegliere, perché la risposta onesta è di solito « nessuno dei due da solo ».
Wazuh e OpenVAS in sintesi
| | Wazuh | OpenVAS / GVM |
|---|
| Categoria | SIEM / XDR (rilevamento e risposta) | Scanner di vulnerabilità |
| Domanda centrale | Cosa sta accadendo sui miei sistemi? | Quali debolezze può sfruttare un attaccante? |
| Funziona | Raccogliendo e correlando log e telemetria degli endpoint, in continuo | Sondando attivamente gli host contro un database di vulnerabilità note, in modo pianificato |
| Esecuzione | In continuo, in tempo reale | Periodica (scansioni settimanali o mensili) |
| Output | Alert, dashboard, report di conformità | Elenco di vulnerabilità ordinate con punteggi CVSS |
| Mantenuto da | Wazuh Inc. | Greenbone (nella suite Greenbone Vulnerability Management) |
Cosa fa davvero Wazuh
Wazuh è una piattaforma open source e gratuita di monitoraggio della sicurezza: rilevamento delle minacce, monitoraggio dell\'integrità dei file, risposta agli incidenti e report di conformità. È costruita sullo stack Elastic ma aggiunge uno strato orientato alla sicurezza con monitoraggio degli endpoint basato su agenti, analisi dei log e dashboard di conformità normativa.
In pratica, Wazuh è il sistema nervoso di un\'operazione di sicurezza. Gli agenti sugli endpoint trasmettono log, modifiche ai file e anomalie rilevate a un gestore centrale, che li correla con regole di rilevamento e genera alert. È lo strumento che un analista osserva per sapere se qualcosa non va adesso.
Dove Wazuh è forte
- Visibilità continua: monitoraggio in tempo reale di endpoint, server, cloud e applicazioni da un\'unica console.
- Conformità integrata: dashboard PCI DSS, GDPR, HIPAA e NIST pronte all\'uso, utili per dimostrare l\'efficacia dei controlli agli auditor.
- Risposta attiva: può bloccare automaticamente IP o isolare endpoint in base a regole configurabili.
- Un agente, molte funzioni: integrità dei file, rilevamento di rootkit, raccolta dei log e rilevamento leggero delle vulnerabilità in un unico pacchetto.
Dove Wazuh fa male
- Avido di risorse: Elasticsearch richiede RAM e disco. Prevedete almeno 16 GB per piccoli deployment, molto di più crescendo.
- Il tuning non è opzionale: le regole predefinite generano rumore. Mettete in conto da due a quattro settimane per ridurre i falsi positivi a un livello sostenibile.
- Curva di apprendimento: le dashboard sono potenti e poco accessibili ai non specialisti.
Approfondiamo Wazuh, insieme al resto del nostro stack, in gli strumenti di sicurezza open source che usiamo e raccomandiamo davvero.
Cosa fa davvero OpenVAS
OpenVAS (oggi distribuito come parte della suite Greenbone Vulnerability Management, o GVM) è uno scanner di vulnerabilità open source. Sonda host e servizi contro un ampio feed, aggiornato di frequente, di test di vulnerabilità di rete, poi riporta ciò che trova, ordinato per gravità.
Dove Wazuh osserva ciò che accade, OpenVAS va in cerca di ciò che potrebbe accadere. È una torcia che puntate periodicamente sulla vostra infrastruttura per individuare servizi non aggiornati, configurazioni deboli e CVE note che un attaccante prenderebbe di mira.
Dove OpenVAS è forte
- Costo: scansione delle vulnerabilità di livello enterprise senza licenza per asset, il motivo principale per cui i team lo preferiscono a Nessus o Qualys.
- Copertura: decine di migliaia di test di vulnerabilità, aggiornati di frequente dal Greenbone Community Feed.
- Scansioni autenticate: con credenziali ispeziona i pacchetti installati e i livelli di patch, non solo le porte esposte, migliorando nettamente l\'accuratezza.
- Report: report chiari e con punteggio CVSS, adatti al tracciamento della remediation e alle prove di audit.
Dove OpenVAS fa male
- Installazione faticosa: storicamente il lato ruvido dello strumento. I deployment Docker aiutano, ma mettete in conto mezza giornata per la prima installazione.
- Falsi positivi: un tasso più alto degli scanner commerciali. I risultati vanno verificati da un umano prima di agire.
- Velocità: più lento di Nessus a parità di ambito. Le grandi scansioni di rete richiedono tempo.
- Debole sulle applicazioni web: non affidatevi a lui per i test delle applicazioni web. Abbinatelo a OWASP ZAP o Burp Suite.
La vera domanda: rilevamento o prevenzione
Il motivo per cui « Wazuh o OpenVAS » continua a essere chiesto è che entrambi sono open source, entrambi toccano le « vulnerabilità » ed entrambi finiscono sulla stessa voce di budget. Ma si collocano ai lati opposti del ciclo di vita della sicurezza.
OpenVAS è preventivo. Riduce la superficie di attacco individuando le debolezze affinché le correggiate prima che qualcuno le sfrutti. Wazuh è rilevativo. Presuppone che prima o poi qualcosa passerà e fa in modo che voi lo vediate quando accade. Scegliere l\'uno invece dell\'altro è come chiedersi se servano le serrature o un allarme. Li volete entrambi, e si rendono reciprocamente più preziosi.
Come lavorano insieme: OpenVAS trova il server non aggiornato. Wazuh vi avvisa quando qualcuno inizia a sondarlo. Inviate i risultati di OpenVAS in Wazuh e un\'unica console mostra sia le vostre debolezze note sia l\'attività in corso contro di esse.
Vi servono entrambi? Una guida rapida alla decisione
- Non avete alcun monitoraggio: iniziate da Wazuh. La visibilità su ciò che accade sui vostri sistemi è la base su cui si costruisce tutto il resto.
- Applicate le patch in modo reattivo e volete anticipare: iniziate da OpenVAS. Conoscere le debolezze permette di dare priorità alla remediation invece di spegnere incendi.
- State lavorando verso NIS2, DORA o ISO 27001: vi servono entrambi. Monitoraggio continuo e valutazione regolare delle vulnerabilità sono requisiti espliciti o impliciti in tutti e tre i casi.
- Siete un piccolo team senza un analista dedicato: usate entrambi, ma valutate seriamente di farli gestire. Gli strumenti sono gratuiti; la competenza per operarli no.
E le alternative a Wazuh?
Se Wazuh è troppo pesante per il vostro ambiente, le consuete alternative open source sono Security Onion (uno stack di rilevamento pacchettizzato), Graylog (gestione dei log con focus sulla sicurezza) e il piano gratuito di Elastic Security. Nessuna elimina la verità di fondo: un SIEM vale solo quanto il suo tuning e le persone dietro di esso. Lo strumento è la parte economica.
Sul fronte della scansione, OpenVAS compete soprattutto con prodotti commerciali (Nessus, Qualys, Rapid7). Tra le opzioni open source è di fatto lo standard. Per le applicazioni web nello specifico, OWASP ZAP è il complemento, non il sostituto.
Come li distribuiamo insieme
Per la maggior parte dei clienti gestiamo Wazuh come SIEM centrale e piattaforma di monitoraggio degli endpoint, OpenVAS per le scansioni di vulnerabilità pianificate, e indirizziamo i risultati di OpenVAS in Wazuh affinché rilevamento ed esposizione convivano nello stesso luogo. Attorno a questo nucleo aggiungiamo MISP per la threat intelligence e Suricata per il rilevamento di rete, ottenendo uno stack di sicurezza interamente open source a costo di licenza zero.
L\'insidia, e il motivo per cui questo confronto conta, è che entrambi gli strumenti premiano la disciplina operativa e puniscono la negligenza. Un Wazuh non ottimizzato è una cascata di alert che nessuno legge. Un OpenVAS non pianificato è un report del trimestre scorso. Distribuiti e mantenuti correttamente, insieme offrono una capacità che rivaleggia con stack commerciali da sei cifre l\'anno.
Se preferite disporre di questa capacità senza costruire la competenza interna per gestirla, è esattamente il lavoro che svolge il nostro team di cybersecurity. Parliamone: vediamo come sarebbe uno stack di sicurezza open source gestito per il vostro ambiente.
Domande frequenti
Wazuh è uno scanner di vulnerabilità?
In parte. Wazuh include un modulo di rilevamento delle vulnerabilità che confronta il software installato con i feed CVE, utile ma più leggero di uno scanner dedicato. Per una valutazione approfondita e autenticata, volete comunque OpenVAS o un equivalente commerciale.
Wazuh e OpenVAS possono lavorare insieme?
Sì. Wazuh può acquisire i risultati delle scansioni di OpenVAS in modo che vulnerabilità note ed eventi di sicurezza in tempo reale compaiano nelle stesse dashboard, ed è così che ne raccomandiamo l\'uso.
OpenVAS è ancora gratuito?
Sì. OpenVAS viene distribuito nell\'ambito della Greenbone Community Edition, gratuita e open source. Greenbone vende anche appliance commerciali con un feed di vulnerabilità più completo e supporto.
Cosa dovrebbe distribuire per prima una piccola impresa?
Se non avete alcun monitoraggio della sicurezza, iniziate da Wazuh per la visibilità. Se avete già qualche monitoraggio ma applicate le patch in modo reattivo, iniziate da OpenVAS. Per la conformità a NIS2, DORA o ISO 27001, prevedete di usarli entrambi.
