Scansione interna vs. esterna: perché servono entrambe le prospettive

Scritto da ExposIQ | Marzo 17, 2026

Molte aziende si affidano esclusivamente a scansioni di sicurezza esterne o credono che il loro firewall offra una protezione sufficiente. La realtà, tuttavia, dimostra il contrario: oggi i cyberattacchi avvengono simultaneamente attraverso molteplici vettori. Chi scansiona solo dall’esterno, trascura i rischi nella rete interna. E chi guarda solo all’interno, non sa cosa vedono gli aggressori dall’esterno. Per una strategia di sicurezza efficace servono entrambe le prospettive.

Cos’è la scansione esterna?

La scansione esterna esamina i vostri sistemi raggiungibili pubblicamente dalla prospettiva di un aggressore. Questo include server web, server di posta, gateway VPN, record DNS, servizi cloud e tutti gli altri servizi visibili da Internet.

Una scansione esterna risponde alla domanda fondamentale: Cosa vede un aggressore quando osserva la vostra azienda dall’esterno?

Risultati tipici delle scansioni esterne:

  • Porte aperte e servizi che non dovrebbero essere esposti
  • Versioni software obsolete con vulnerabilità note (ad es. server Exchange non aggiornati)
  • Certificati SSL/TLS configurati in modo errato
  • Interfacce di amministrazione esposte (admin di WordPress, pannelli di database, Remote Desktop)
  • Informazioni divulgate tramite record DNS, header HTTP o messaggi di errore
  • Vulnerabilità nei gateway VPN e nelle soluzioni di accesso remoto

Le scansioni esterne sono il punto di partenza logico, perché mostrano dove la vostra superficie d’attacco è più ampia. Ogni servizio raggiungibile da Internet è un potenziale punto d’ingresso.

Cos’è la scansione interna?

La scansione interna esamina la vostra rete dall’interno. Viene impiegato un agente o scanner all’interno della vostra rete locale che verifica sistemi, servizi e configurazioni non visibili dall’esterno.

Una scansione interna risponde a una domanda diversa, ma altrettanto importante: Cosa succede se un aggressore è già nella vostra rete?

Questo scenario non è affatto ipotetico. Un attacco di phishing riuscito, un dispositivo compromesso o una chiavetta USB infetta sono sufficienti per dare a un aggressore un punto d’appoggio. Da quel momento inizia la cosiddetta fase di Lateral Movement – l’aggressore si muove lateralmente attraverso la rete, cerca altri sistemi vulnerabili e tenta di escalare i propri privilegi.

Risultati tipici delle scansioni interne:

  • Postazioni di lavoro e server non aggiornati nella rete locale
  • Condivisioni SMB aperte con dati sensibili senza controllo degli accessi
  • Firmware di stampanti obsoleta o dispositivi IoT con password predefinite
  • Segmentazione di rete mancante tra i reparti
  • Servizi interni senza autenticazione (database, interfacce di gestione)
  • Configurazioni errate di Active Directory come account con privilegi eccessivi

Perché un firewall non basta

L’architettura di sicurezza classica di molte PMI si basa su un semplice modello perimetrale: un firewall separa la rete interna «sicura» da Internet «insicuro». Questo modello presenta debolezze fondamentali.

In primo luogo: il firewall non protegge dalle minacce già presenti nella rete. Un collaboratore che clicca su un link di phishing aggira completamente il firewall. L’aggressore opera ora all’interno dell’area «sicura».

In secondo luogo: molte PMI hanno reti piatte senza segmentazione. Se un aggressore compromette un singolo sistema, può potenzialmente accedere a tutti gli altri sistemi nella stessa rete – dal server di contabilità al controllo della produzione.

In terzo luogo: i servizi cloud, le connessioni VPN e l’home office dissolvono il perimetro classico. Il confine tra «interno» ed «esterno» si sfuma. I collaboratori accedono alle risorse aziendali da qualsiasi luogo, e i dati risiedono sia in locale che nel cloud.

Esempi pratici: quando una sola prospettiva non basta

Scenario 1: il server di test dimenticato

Una PMI gestisce un negozio online. La scansione esterna mostra: tutto in ordine, il sito web è aggiornato, SSL è configurato correttamente. La scansione interna, tuttavia, rivela che nella stessa rete è ancora attivo un vecchio server di test con una versione di Apache obsoleta. Questo server non è raggiungibile dall’esterno – ma se un aggressore entra nella rete tramite phishing, può utilizzare questo server come trampolino per raggiungere il sistema di produzione.

Scenario 2: il pannello di amministrazione esposto

Una scansione esterna scopre che l’interfaccia di amministrazione di un sistema NAS è raggiungibile pubblicamente sulla porta 5000. Il fornitore IT l’aveva aperta per la manutenzione remota e non l’aveva più chiusa. Senza la scansione esterna, questo sarebbe rimasto inosservato – dall’interno tutto sembra normale.

Scenario 3: Lateral Movement dopo il phishing

Un collaboratore si becca un infostealer tramite una mail di phishing. L’aggressore ha ora accesso a un dispositivo. Una scansione interna avrebbe mostrato in anticipo che diversi sistemi nella rete hanno SMBv1 attivato – un protocollo con vulnerabilità note come EternalBlue. L’aggressore sfrutta esattamente questa vulnerabilità per espandersi dalla postazione compromessa al file server.

La combinazione fa la differenza

La scansione esterna e quella interna si completano a vicenda. Insieme forniscono un quadro completo della vostra situazione di sicurezza:

  1. Le scansioni esterne identificano la vostra superficie d’attacco e mostrano dove gli aggressori potrebbero entrare
  2. Le scansioni interne mostrano fino a che punto un aggressore potrebbe spingersi se fosse già nella rete
  3. La combinazione consente una valutazione realistica dei rischi e una prioritizzazione mirata delle misure

Solo conoscendo entrambe le prospettive potete prendere decisioni fondate: quali vulnerabilità devono essere risolte immediatamente? Dove serve una segmentazione aggiuntiva? Quali sistemi sono particolarmente esposti?

Come funziona con ExposIQ

ExposIQ supporta entrambe le prospettive di scansione in un’unica piattaforma:

Scansione esterna (basata su cloud): ExposIQ scansiona automaticamente dal cloud i vostri sistemi raggiungibili pubblicamente. Con oltre 35 motori di scansione e 11’700 template Nuclei, server web, server di posta, gateway VPN e servizi cloud vengono verificati per vulnerabilità note. Le scansioni vengono eseguite regolarmente e senza installazione – basta indicare i vostri domini e intervalli IP.

Scansione interna (basata su agente): per la prospettiva interna, ExposIQ offre un agente installabile. Questo viene impiegato su un sistema nella vostra rete locale e scansiona da lì tutti i sistemi raggiungibili. In questo modo diventano visibili anche le vulnerabilità che restano nascoste dall’esterno: workstation non aggiornate, condivisioni aperte, servizi interni obsoleti.

Tutti i risultati confluiscono in un’unica dashboard. Ogni vulnerabilità viene valutata con il punteggio EPSS (probabilità di sfruttamento attivo) e mappata sulle tecniche MITRE ATT&CK. In questo modo non vedete solo cosa è vulnerabile, ma anche quale rischio sussiste effettivamente.

Raccomandazione per le PMI

Se oggi eseguite solo scansioni esterne, state compiendo un primo passo importante. Ma vedete solo metà della verità. Integrate la vostra strategia di sicurezza con la scansione interna per riconoscere i rischi di Lateral Movement e validare la segmentazione della vostra rete.

Non iniziate cercando di risolvere tutto contemporaneamente. Un approccio pragmatico:

  1. Iniziate con le scansioni esterne per comprendere la vostra superficie d’attacco pubblica
  2. Risolvete prima le vulnerabilità esterne critiche
  3. Integrate le scansioni interne per verificare la vostra rete dall’interno
  4. Stabilite le priorità sulla base del quadro di rischio combinato
  5. Ripetete regolarmente – il vostro panorama IT cambia continuamente

Con ExposIQ, le PMI svizzere possono coprire entrambe le prospettive – in un’unica piattaforma, ospitata in data center svizzeri e già a partire da CHF 99 al mese. Testate la differenza che fa un quadro completo della situazione: exposiq.ch

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.