Bei der Einordnung nach Kundengröße werden ASM-Plattformen danach bewertet, wie sehr sich ihre Implementierung aus wirtschaftlicher Sicht für ein Unternehmen lohnt. Je nachdem, wie komplex und umfangreich dessen Netzwerkumgebung ausgelegt ist, müssen Faktoren wie Aufwand, Detaillierungsgrad und Langfristigkeit der Sicherheitsprozesse sinnvoll ermessen werden. Wird dieses Verhältnis nicht berücksichtigt, besteht beispielsweise für kleinere Unternehmen die Gefahr, von einer Vielzahl irrelevanter Informationen überwältigt zu werden oder ein ungünstiges Verhältnis zwischen entstehenden Kosten und erzieltem Sicherheitsgewinn zu erhalten.

KMU
Schwachstellenscanner für kleine und mittlere Unternehmen (KMU) sind in der Regel für überschaubare Infrastrukturen konzipiert und zeichnen sich durch einfache Implementierung, leicht verständliche Ergebnisse, sowie einen minimalen Organisationsaufwand aus. Sie liefern eine Basissicherheit für IT-Umgebungen mit geringer Systemvielfalt und weniger stark segmentierten Netzwerken und lassen sich gut mit den vorhandenen Ressourcen betreiben. Die Erkennung basiert häufig auf bekannten Schwachstellenmustern, Konfigurationsfehlern und veralteten Softwareversionen. Die Ergebnisse werden so präsentiert, dass sie auch ohne ein eigenes Sicherheitsteam verständlich sind.

Großunternehmen
Scanner, die in weitläufigen und stark segmentierten Netzwerkumgebungen großer Unternehmen eingesetzt werden, müssen eine Vielzahl gleichzeitiger Scans innerhalb einer komplexen Auswahl, oft über mehrere Sicherheitszonen verteilter IT-Systeme, handhaben können. Sie sind häufig auf feingranularer Ebene konfigurierbar, damit benötigtes Potenzial während ihrer Integration in vielfältige bestehende Arbeitsprozesse nicht verloren geht. Gefundene Risiken ergeben sich aus der Korrelation großer Mengen an Scan- und Kontextdaten, die mit einer langjährigen Sammlung von Prüfmethoden verglichen werden. Meist konzentrieren sich solche Scanner auf ein langfristiges Schwachstellenmanagement, das weniger auf die Analyse einzelner Befunde eingeht und die Kritikalität eher großflächig im Kontext von Abhängigkeiten wie Geschäftsprozessen bewertet.