Penggunaan suatu framework dan tools security dapat membantu organisasi, khusunya di divisi keamanan siber dalam mengidentifikasi vulnerabilities, kemungkinan risiko, dan pengambilan keputusan. Penelitian ini membandingkan hasil vulnerability scan AlienVault dan Qualys dengan parameter uji identifikasi vulnerabilities dan waktu yang dibutuhkan untuk melakukan vulnerability scan. Langkah-langkah penelitian menggunakan permodelan MITRE ATT&CK. Skenario pengujian yang dijalankan adalah dengan melakukan vulnerability scan ketiga vulnerability operating system yaitu DC-1, Vulnix, dan VulnOS menggunakan AlienVault dan Qualys. Laporan yang dihasilkan dari vulnerability scan AlienVault dan Qualys berisi jumlah vulnerabilities pada masing-masing severity level, informasi dan deskripsi mengenai vulnerabilities, dan waktu yang dibutuhkan untuk menghasilkan laporan vulnerability scan. Hasil penelitian menunjukkan bahwa waktu yang dibutuhkan Qualys dalam menghasilkan laporan lebih efektif dibanding AlienVault. Estimasi skor risiko tertinggi dimiliki oleh vulnerabilities Drupal Core pada DC-1. Klasifikasi vulnerabilities DC-1, Vulnix, dan VulnOS dari laporan AlienVault dan Qualys memiliki kategori teknik dan taktik yang sama pada pemetaan matriks MITRE ATT&CK.