FAQ di Tenable Vulnerability Management

Vulnerability Management è una soluzione di gestione delle vulnerabilità basata sul rischio che offre visibilità completa della rete, consentendo così di prevedere gli attacchi e di rispondere rapidamente alle vulnerabilità critiche. L'individuazione e la valutazione continue e sempre attive forniscono la visibilità necessaria per trovare tutti gli asset nella tua rete, nonché le vulnerabilità nascoste in tali asset. L'assegnazione di priorità, l'intelligence sulle minacce e il reporting in tempo reale integrati aiutano a comprendere il proprio rischio e a interrompere i percorsi di attacco in modo proattivo. Sviluppata con la migliore tecnologia Tenable Nessus e gestita nel cloud, ti consente di avere una visibilità completa di asset e vulnerabilità nella rete per permettermi di comprendere il rischio e conoscere quali vulnerabilità risolvere per prime in modo rapido e preciso.

Tenable Vulnerability Management è parte integrante di Tenable One, la piattaforma di gestione dell'esposizione di Tenable. Tenable One si basa su Tenable Vulnerability Management e fornisce informazioni utili sui rischi per la sicurezza dell'intera infrastruttura, comprese istanze cloud, applicazioni web, Active Directory (AD) e altro ancora, anche risorse altamente dinamiche come dispositivi mobili, macchine virtuali e container. Per migliorare ulteriormente la gestione del rischio informatico, fornisce metriche e funzionalità aggiuntive per la definizione delle priorità, come visualizzazioni della superficie di attacco, valutazioni della criticità delle risorse, punteggio dell'esposizione basato sul rischio e benchmarking tra pari, nonché la capacità di monitorare la riduzione del rischio nel tempo.

Per maggiori informazioni su Tenable Vulnerability Management, visita la pagina del prodotto di Tenable Vulnerability Management, partecipa a un prossimo webinar o contatta il tuo partner certificato Tenable o un rappresentante Tenable.

Effettua la registrazione per una valutazione gratuita di Tenable Vulnerability Management visitando https://www.tenable.com/try.

È possibile acquistare le applicazioni Tenable Vulnerability Management tramite il proprio partner certificato Tenable locale, contattando il proprio rappresentante Tenable o visitando tenable.com.

Sì. Puoi concedere le applicazioni Tenable in licenza individualmente. Ad esempio, Tenable Web App Scanning può essere concesso in licenza da solo, senza le funzionalità di gestione delle vulnerabilità di Tenable Vulnerability Management.

Tenable Vulnerability Management viene concesso in licenza tramite abbonamento annuale e il prezzo si basa sull'asset, anziché sull'indirizzo IP. Ciò consente ai clienti di sperimentare nuove tecnologie come il cloud senza timore di una doppia contabilizzazione.

Per ulteriori informazioni su prezzi e licenze, consulta la sezione seguente.

Un asset è:

• Un dispositivo fisico o virtuale con un sistema operativo connesso a una rete
• Un'applicazione web con un nome di dominio completo (FQDN)
• Una risorsa cloud attiva (non interrotta)

Esempi di asset includono: desktop, laptop, server, dispositivi di archiviazione o di rete, telefoni, tablet, macchine virtuali, istanze e contenitori cloud, ecc.

Tenable Web App Scanning viene concesso in licenza tramite abbonamento annuale e il prezzo dipende dalla quantità di asset. Il prezzo di Tenable Web App Scanning è calcolato in base al numero totale di nomi di dominio completi (FQDN) valutati dal prodotto.

Per ulteriori informazioni su prezzi e licenze, consulta la sezione seguente.

Sì. Per Tenable Vulnerability Management, Tenable offre la prima garanzia di uptime del settore della gestione delle vulnerabilità con un solido accordo sul livello di servizio (SLA). Se non vengono rispettate le condizioni dello SLA, vengono offerti dei crediti di servizio, proprio come con i fornitori cloud preminenti, ad esempio Amazon Web Services (AWS).

La documentazione tecnica di tutti i prodotti Tenable, incluso Tenable Vulnerability Management, è disponibile all'indirizzo https://docs.tenable.com.

Sì. È possibile utilizzare entrambe le soluzioni. I clienti possono scegliere una distribuzione ibrida di gestione delle vulnerabilità utilizzando sia Tenable Security Center che Tenable Vulnerability Management. I clienti interessati a Tenable Vulnerability Management PCI/ASV o ad altre applicazioni Tenable Vulnerability Management, possono anche scegliere una distribuzione ibrida insieme alla propria istanza di Tenable Security Center.

Sì. Per i clienti interessati, è disponibile una gamma di opzioni per migrare senza problemi da Tenable Security Center a Tenable Vulnerability Management, con il supporto completo di Tenable o del proprio partner certificato. Per maggiori informazioni, contatta il tuo partner certificato Tenable o un rappresentante Tenable.

La gestione della superficie di attacco esterna (EASM) è una funzionalità offerta da Tenable che fornisce visibilità sui punti ciechi esterni al perimetro di rete. Ciò consente ai clienti di eseguire la scansione del proprio dominio per trovare asset connessi a Internet non noti in precedenza che possano rappresentare un rischio elevato per l'organizzazione.

Sì, Tenable Vulnerability Management offre le funzionalità External Attack Surface Management (EASM). Se hai bisogno di domini, frequenze e/o metadati aggiuntivi nei risultati, puoi acquistare i componenti aggiuntivi di Tenable Attack Surface Management.

Tenable Web App Scanning è un'applicazione di test dinamici della sicurezza delle applicazioni (DAST). L'applicazione DAST effettua una ricerca per indicizzazione in un'applicazione web in esecuzione attraverso il front-end per creare una mappa del sito con tutte le pagine, i link e i moduli da testare. Una volta che l'applicazione DAST crea una mappa del sito, interroga il sito attraverso il front-end per identificare eventuali vulnerabilità nel codice personalizzato dell'applicazione o vulnerabilità note nei componenti di terze parti che costituiscono la maggior parte dell'applicazione.

Per maggiori informazioni su Tenable Web App Scanning, visita la pagina del prodotto di Tenable Web App Scanning. Registrati per una valutazione gratuita alla pagina web tenable.com/try-was oppure contatta il tuo partner certificato Tenable o ancora un rappresentante Tenable per ulteriori informazioni.

No. Tenable Web App Scanning è una soluzione DAST (Dynamic Application Security Testing) che testa un'applicazione Web "dall'esterno" quando l'applicazione è in esecuzione in un ambiente di test o di produzione.

I vantaggi principali delle licenze Elastic Asset sono:

• I clienti possono acquistare la giusta quantità di licenze, in base alle quantità effettiva dei loro asset, non a conteggi gonfiati degli indirizzi IP
• I clienti possono evitare di imbarcarsi in progetti dispendiosi in termini di tempo e spesso imprecisi, ma necessari per recuperare le licenze da asset dismessi e/o scansionati inavvertitamente
• Le metriche di gestione delle vulnerabilità non sono falsate da vulnerabilità che sono state contate due o tre volte in quanto legate ad asset che presentano più indirizzi IP

I vantaggi principali delle licenze Elastic Asset sono:

• I clienti possono acquistare la giusta quantità di licenze, in base alle quantità effettiva dei loro asset, non a conteggi gonfiati degli indirizzi IP
• I clienti possono evitare di imbarcarsi in progetti dispendiosi in termini di tempo e spesso imprecisi, ma necessari per recuperare le licenze da asset dismessi e/o scansionati inavvertitamente
• Le metriche di gestione delle vulnerabilità non sono falsate da vulnerabilità che sono state contate due o tre volte in quanto legate ad asset che presentano più indirizzi IP

Sì, su base temporanea, i clienti possono superare il numero di asset concesso dalla licenza. Naturalmente, i clienti devono eseguire un true-up se il numero di licenze continua a essere superato in maniera costante.

L'interfaccia utente di Tenable Vulnerability Management mostra sia il numero di asset dotati di licenza sia l'effettivo utilizzo della licenza.

Un asset è un'entità che può essere analizzata. Alcuni esempi possono essere: desktop, laptop, server, dispositivi di archiviazione, dispositivi di rete, telefoni, tablet, macchine virtuali, hypervisor e contenitori.

Quando Tenable Vulnerability Management rileva un asset per la prima volta, raccoglie molteplici attributi di identificazione, che possono includere un UUID del BIOS, l'indirizzo MAC del sistema, il nome NetBIOS, FQDN e/o altri attributi che possono essere utilizzati per identificare in modo affidabile un asset. Inoltre, la scansione autenticata e gli agenti Nessus assegnano un Tenable UUID al dispositivo. Quando Tenable Vulnerability Management successivamente esegue la scansione di un asset, lo confronta con gli asset rilevati in precedenza. Se l'asset appena scoperto non corrisponde a un asset scoperto in precedenza, l'asset viene aggiunto all'inventario degli asset di Tenable Vulnerability Management.

Gli IP sono in genere una proprietà di un asset e molti asset hanno più IP assegnati (come dispositivi DHCP, sistemi con interfacce sia cablate che wireless, ecc...).

Spesso gli asset dispongono di più schede di interfaccia di rete, in modo che vi si possa accedere da più reti. Ad esempio, un server web potrebbe trovarsi contemporaneamente su una rete di produzione e su una rete amministrativa, oppure un laptop avrà spesso sia un'interfaccia di rete cablata che wireless. Inoltre, i laptop spesso ottengono nuovi IP mentre si spostano da una posizione all'altra. Se gli asset dovessero venire scansionati con un IP e poi con un altro, verranno conteggiati due volte.

Tenable Vulnerability Management supporta scansioni di rilevamento illimitate utilizzando sensori sia attivi che passivi. I clienti possono utilizzare queste scansioni per inventariare in modo completo tutti i loro asset e determinare la dimensione della licenza più adatta alle loro esigenze.

Tenable Vulnerability Management impiega varie metodologie per evitare di conteggiare due o tre volte lo stesso asset quando si tratta di calcolare la dimensione della licenza appropriata. Con gli asset tradizionali, Tenable Vulnerability Management utilizza un algoritmo proprietario che abbina gli asset appena scoperti con quelli scoperti in precedenza per eliminare i duplicati e garantire report delle vulnerabilità più accurati.

In definitiva, i dati dei clienti gestiti da Tenable Vulnerability Management hanno un unico scopo: offrire un'esperienza eccezionale durante la gestione di asset e vulnerabilità da parte dei clienti per proteggere i propri ambienti. A tal fine, Tenable Vulnerability Management gestisce tre categorie di dati dei clienti:

1. Dati su asset e vulnerabilità
2. Dati sulle prestazioni ambientali
3. Dati di utilizzo del cliente

Tenable Vulnerability Management crea un inventario degli asset presenti nelle reti dei clienti e gestisce gli attributi delle risorse che possono includere indirizzo IP, indirizzo MAC, nome NetBIOS, sistema operativo e versione, porte attive e altro ancora.

Tenable Vulnerability Management raccoglie dati dettagliati attuali e storici sulle vulnerabilità e sulla configurazione, che possono includere criticità, sfruttabilità, stato di riparazione e attività di rete. Inoltre, se i clienti migliorano la raccolta dati di Tenable Vulnerability Management con integrazioni a prodotti di terze parti, come sistemi di gestione delle risorse e sistemi di gestione delle patch, Tenable Vulnerability Management può gestire i dati di tali prodotti.

Tenable rende anonimi e analizza i dati dei clienti allo scopo di determinare le tendenze nel settore, le tendenze nella crescita e nella mitigazione delle vulnerabilità e le tendenze negli eventi di sicurezza. Ad esempio, correlare la presenza di una vulnerabilità con il suo sfruttamento ha enormi vantaggi per i clienti di Tenable. Ulteriori vantaggi includono analisi avanzate e una migliore correlazione dei dati dei clienti con gli eventi e le tendenze del settore e della sicurezza. La raccolta e l'analisi di tali dati consente inoltre ai clienti di confrontarsi con altre realtà del settore o in linea generale. Ovviamente, Tenable ha previsto anche una procedura specifica per i clienti che desiderassero rifiutare la gestione dei propri dati da parte di Tenable.

Per mantenere le prestazioni e la disponibilità di Tenable Vulnerability Management e offrire la migliore esperienza utente possibile, la soluzione raccoglie informazioni sullo stato e sull'integrità delle applicazioni specifiche del cliente. Di queste informazioni fanno parte: la frequenza con cui lo scanner comunica con la piattaforma, il numero di asset scansionati e le versioni del software distribuito, nonché altri dati di telemetria generali per individuare e risolvere il prima possibile potenziali problemi.

Tenable utilizza i dati sull'integrità e sullo stato per rilevare e affrontare potenziali problemi in modo tempestivo, mantenendo così gli impegni assunti nel contratto di servizio. Pertanto, i clienti non possono rifiutare questa raccolta di dati.

Per valutare e migliorare l'esperienza cliente, Tenable raccoglie dati anonimi sull'utilizzo dei propri prodotti da parte degli utenti. Questi dati includono l'accesso alla pagina, i clic e altre attività che possono rappresentare i comportamenti degli utenti per semplificarne e migliorarne l'esperienza sulla piattaforma.

Sì. Un cliente può richiedere che il proprio contenitore non sia più parte del processo di raccolta.

Per fornire ai clienti Tenable Vulnerability Management, Tenable utilizza data center e servizi di Amazon Web Services (AWS). Per impostazione predefinita, Tenable sceglierà di creare un contenitore cliente nella regione più adatta a garantire la migliore esperienza possibile per ogni cliente. Le posizioni attuali sono:

• Stati Uniti d'America orientali
• Stati Uniti d'America occidentali
• Stati Uniti d'America centrali
• Londra
• Francoforte
• Sydney
• Singapore
• Canada
• Giappone
• Brasile
• India

In via del tutto eccezionale, nel caso in cui, prima della distribuzione, un cliente dovesse richiedere una regione AWS specifica, Tenable attiverà il cliente nella regione scelta.

Poiché tutti i dati dei clienti sono archiviati in servizi AWS regionali sicuri, le certificazioni per la protezione dei dati dell'UE rispettate da AWS si applicano al cloud di Tenable. Ulteriori informazioni sono disponibili qui.

Sì. Tuttavia, l'arco temporale nel quale verranno inserite ulteriori sedi non è ancora stato stabilito.

Esistono situazioni in cui i dati potrebbero essere archiviati in regioni diverse dalla regione AWS iniziale.

• I clienti di Tenable Vulnerability Management possono eseguire scansioni esterne utilizzando i pool di scansione pubblici e condivisi disponibili in diverse regioni AWS. La scelta di uno scanner vicino all'obiettivo generalmente si tradurrà in scansioni più veloci. Si noti che quando un cliente utilizza uno scanner cloud in una località diversa da quella che ospita il proprio account, i dati di scansione esisteranno temporaneamente al di fuori della località di hosting dell'account, ma non vi verranno archiviati. Ad esempio, se un cliente con un account ospitato in UE/Germania esegue la scansione con uno scanner situato negli Stati Uniti/N. Virginia, i dati sottoposti a scansione passeranno temporaneamente attraverso gli Stati Uniti prima di essere archiviati a Francoforte. Se la località dei dati potrebbe essere un problema, i clienti dovrebbero eseguire le scansioni esterne unicamente con scanner cloud localizzati nella loro regione. Questa opzione è facilmente selezionabile per ogni singola scansione.
• Se un cliente utilizza Tenable Security Center, i dati di scansione non vengono archiviati nel cloud, anche se utilizza Tenable Vulnerability Management per eseguire la scansione di parte dell'intera infrastruttura.
• I dati di scansione di Tenable Nessus Agent vengono archiviati in Tenable Vulnerability Management quando i clienti eseguono scansioni da Tenable Vulnerability Management. Se i clienti eseguono scansioni degli agenti con Tenable Nessus Manager, tali dati non verranno archiviati in Tenable Vulnerability Management, indipendentemente da dove sono distribuiti gli agenti.

Sì. I dati vengono archiviati nel paese selezionato al momento della creazione dell'account.

Tenable applica molteplici misure di sicurezza per garantire la sicurezza e la privacy dei dati di Tenable Vulnerability Management.

Tenable segue una serie di pratiche per garantire la sicurezza del software applicativo di Tenable Vulnerability Management.

I test vengono eseguiti da tre gruppi separati all'interno di Tenable:

• I test di sicurezza vengono eseguiti dal team di sviluppo;
• Il team di Tenable IT Security esegue test di vulnerabilità su Tenable Vulnerability Management sia prima che dopo la distribuzione (i test post-distribuzione non sono programmati e vengono eseguiti senza preavviso agli altri team); e
• Tenable fornisce un'ulteriore revisione della sicurezza del codice sorgente e delle modifiche prima della distribuzione.

Tutta la distribuzione del software è automatizzata ed eseguita solo tramite il sistema di compilazione, che è autenticato tramite credenziali LDAP aziendali o da Ansible, a sua volta autenticato da chiavi private SSH. Tutte le distribuzioni vengono registrate e tracciate e la notifica dell'azione di distribuzione (pianificata o non pianificata) viene inviata automaticamente al team di sviluppo di Tenable.

Tutte le modifiche al codice sorgente vengono tracciate e collegate alla versione in cui tale modifica viene installata. Il tracciamento garantisce che esista una cronologia completa di ogni modifica, chi l'ha apportata, quando è stata apportata e, infine, quando la modifica è stata implementata in produzione.

Ogni distribuzione è approvata da almeno due membri del team Tenable. Tutte le modifiche e le distribuzioni vengono comunicate e trasmesse a tutti i membri del team. Il software viene prima distribuito agli ambienti di test, e solo successivamente viene distribuito in modo "rolling" anche alle istanze di produzione in un intervallo di tempo.

• Garantire l'accesso a Tenable Vulnerability Management in modo sicuro e autorizzato è una priorità assoluta per i nostri team operativi e di sviluppo. Tenable Vulnerability Management fornisce una serie di meccanismi per proteggere i dati dei clienti e controllarne l'accesso. Offriamo una protezione dagli attacchi brute force bloccando gli account dopo cinque (5) tentativi di accesso falliti.
• Al fine di proteggere i dati dalle intercettazioni, tutte le comunicazioni inviate alla piattaforma vengono crittografate tramite SSL (TLS-1.2). Inoltre, una negoziazione SLL non sicura e non recente viene rifiutata allo scopo di garantire il massimo livello di protezione
• Per proteggere l'accesso alla piattaforma, i clienti possono configurare l'autenticazione a due fattori attraverso i servizi forniti da Twillo.
• I clienti possono integrare Tenable Vulnerability Management con la propria distribuzione SAML. Tenable Vulnerability Management supporta sia le richieste avviate dall'IdP che dall'SP. Infine, gli utenti possono reimpostare la propria password direttamente all'interno dell'applicazione utilizzando il proprio indirizzo e-mail
• I clienti spesso creano connessioni cliente a Tenable Vulnerability Management utilizzando le nostre API o SDK documentati. L'accesso può quindi essere concesso e controllato mediante la creazione di specifiche API, le cosiddette "chiavi". L'utilizzo di chiavi diverse per integrazioni diverse è supportato senza richiedere la condivisione delle credenziali utente.

Tenable applica molteplici misure di sicurezza per garantire la sicurezza e la privacy dei dati di Tenable Vulnerability Management.

Tutti i dati in tutti gli stati della piattaforma Tenable Vulnerability Management vengono crittografati con almeno un livello di crittografia, utilizzando come minimo lo standard AES-256.

Dati inattivi: i dati vengono archiviati su supporti crittografati utilizzando come minimo un livello di crittografia AES-256.

Alcune classi di dati includono un secondo livello di crittografia per file.

Dati in trasferimento: i dati vengono crittografati durante il trasporto utilizzando TLS v1.2 con una chiave a 4096 bit (inclusi i trasferimenti interni).

Tenable Vulnerability Management Sensor Communication: Il traffico dai sensori alla piattaforma viene sempre avviato dal sensore ed è solo in uscita sulla porta 443. Il traffico viene crittografato tramite comunicazione SSL utilizzando TLS 1.2 con una chiave a 4096 bit. Questo elimina la necessità di apportare modifiche al firewall e permette al cliente di controllare le connessioni tramite le regole firewall.

• Autenticazione da scanner a piattaforma
• La piattaforma genera una chiave casuale della lunghezza di 256 bit per ogni scanner connesso al contenitore e trasferisce tale chiave allo scanner durante il processo di collegamento
• Gli scanner utilizzano questa chiave per autenticarsi nuovamente al controller quando richiedono lavori, aggiornamenti dei plug-in e aggiornamenti al file binario dello scanner
• Comunicazione del lavoro da scanner a piattaforma
• Gli scanner contattano la piattaforma ogni 30 secondi
• Se c'è un lavoro, la piattaforma genera una chiave casuale di 128 bit
• Lo scanner richiede il criterio alla piattaforma
• Il controller utilizza la chiave per crittografare il criterio, che include le credenziali da utilizzare durante la scansione

Dati di backup/replica: le snapshot dei volumi e le repliche dei dati vengono archiviate con lo stesso livello di crittografia dell'origine, almeno AES-256. Tutte le repliche vengono eseguite tramite il provider. Tenable non esegue il backup di alcun dato su supporti fisici off-site o sistemi fisici.

Dati degli indici: i dati degli indici vengono archiviati su supporti crittografati utilizzando almeno un livello di crittografia AES-256.

Credenziali di scansione: vengono archiviate all'interno di una policy crittografata all'interno della chiave globale AES-256 dei contenitori. Quando vengono avviate le scansioni, il criterio viene crittografato con una chiave a 128 bit casuale monouso e trasportato utilizzando TLS v1.2 con una chiave a 4096 bit.

Gestione delle chiavi: le chiavi vengono archiviate centralmente, crittografate con una chiave basata sui ruoli e con accesso limitato. Tutti i dati crittografati memorizzati possono essere ruotati in una nuova chiave. Le chiavi di crittografia dei file di dati sono diverse in ogni sito regionale, così come le chiavi a livello di disco. La condivisione delle chiavi è vietata e le procedure di gestione delle chiavi vengono riviste su base annuale.

La gestione delle chiavi non è configurabile dal cliente. Tenable gestisce le chiavi e la rotazione delle chiavi.

Tenable Network Security è conforme al Privacy Shield Framework UE-USA e al Privacy Shield FrameworkSvizzera-USA, come stabilito dal Dipartimento del Commercio per quanto riguarda la raccolta, l'uso e la conservazione delle informazioni personali trasferite rispettivamente dall'Unione Europea e dalla Svizzera agli Stati Uniti. Tenable Network Security ha certificato al Dipartimento del Commercio di aderire ai principi del Privacy Shield. In caso di conflitto tra i termini della presente informativa sulla privacy e i principi del Privacy Shield, prevarranno i secondi. Per ulteriori informazioni sul programma Privacy Shield e per visualizzare la nostra certificazione, visita la pagina web https://www.privacyshield.gov/

Tenable ha completato l'autovalutazione STAR della Cloud Security Alliance (CSA). Nel Consensus Assessment Initiative Questionnaire (CAIQ), Tenable fornisce risposte a una serie di oltre 140 domande relative alla sicurezza che potrebbero essere poste da un potenziale cliente, cliente o partner di Tenable Vulnerability Management. CSA STAR è il programma più potente del settore per garantire la sicurezza nel cloud. STAR (Security Trust & Assurance Registry) comprende i principi chiave di trasparenza, controllo rigoroso e armonizzazione degli standard, comprese le indicazioni sulle best practice e la convalida della postura di sicurezza delle offerte cloud.

La piattaforma Tenable Vulnerability Management fa tutto il possibile per non raccogliere tipi di dati di identificazione personale (PII) in un formato che richiederebbe certificazioni o misure di sicurezza aggiuntive. In questa categoria rientrano numeri di carte di credito, numeri di previdenza sociale e altri controlli personalizzati. Laddove i plug-in Tenable acquisiscono stringhe di caratteri che possono contenere informazioni sensibili o personali, la piattaforma offusca automaticamente almeno il 50% dei suddetti caratteri per proteggere i dati che potrebbero essere sensibili.

I dati di ciascun cliente sono contrassegnati da un "ID contenitore", che corrisponde a un abbonamento cliente specifico. Questo ID contenitore assicura che l'accesso ai dati di un determinato cliente sia limitato solo a quel cliente.

• Tenable esegue scansioni alla ricerca di vulnerabilità con frequenza giornaliera.
• I firewall e la segmentazione della rete controllano gli accessi.Strumenti e processi automatizzati monitorano la piattaforma Tenable Vulnerability Management per verificarne il tempo di attività, le prestazioni e per rilevare comportamenti anomali.
• I registri vengono monitorati tramite un sistema di automazione 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno e il personale di Tenable è disponibile per rispondere agli eventi nella stessa identica finestra temporale.

I sensori che si connettono alla piattaforma svolgono un ruolo importante nella sicurezza del cliente, in quanto raccolgono informazioni sugli asset e sulle vulnerabilità. Proteggere questi dati e garantire che i percorsi di comunicazione siano sicuri è una funzione fondamentale di Tenable Vulnerability Management. Tenable Vulnerability Management supporta a oggi diversi sensori: scanner di vulnerabilità Tenable Nessus, scanner passivi e agenti Tenable Nessus.

Questi sensori si connettono alla piattaforma Tenable Vulnerability Management dopo l'autenticazione crittografica e il collegamento a Tenable Vulnerability Management. Una volta collegata, Tenable Vulnerability Management gestisce tutti gli aggiornamenti (plug-in, codice, ecc.) per garantire che i sensori siano sempre aggiornati.

Il traffico dai sensori alla piattaforma viene sempre avviato dal sensore ed è solo in uscita sulla porta 443. Il traffico viene crittografato tramite comunicazione SSL utilizzando TLS 1.2 con una chiave a 4096 bit. Questo elimina la necessità di apportare modifiche al firewall e permette al cliente di controllare le connessioni tramite le regole firewall.

• Autenticazione da scanner a piattaforma
  • La piattaforma genera una chiave casuale della lunghezza di 256 bit per ogni scanner connesso al contenitore e trasferisce tale chiave allo scanner durante il processo di collegamento
  • Gli scanner utilizzano questa chiave per autenticarsi nuovamente al controller quando richiedono lavori, aggiornamenti dei plug-in e aggiornamenti al file binario dello scanner
• Comunicazione del lavoro da scanner a piattaforma
  • Gli scanner contattano la piattaforma ogni 30 secondi
  • Se c'è un lavoro, la piattaforma genera una chiave casuale di 128 bit
  • Lo scanner richiede il criterio alla piattaforma
  • Il controller utilizza la chiave per crittografare il criterio, che include le credenziali da utilizzare durante la scansione

I servizi Tenable Vulnerability Management mirano a fornire un tempo di attività pari o superiore al 99,95% che arriva al 100% per la maggior parte dei servizi. Tenable ha pubblicato uno SLA che descrive il proprio impegno nel garantire che la piattaforma sia disponibile a tutti gli utenti e rivela il modo in cui vengono accreditati i clienti in caso di tempi di inattività non pianificati.

Lo stato "Up" è determinato semplicemente da test di disponibilità pubblici ospitati da una terza parte che verifica regolarmente la disponibilità di tutti i servizi. I tempi di attività dei servizi (sia attuali che storici) sono disponibile all'indirizzo https://status.tenable.com.

Tenable Vulnerability Management fa ampio uso della piattaforma AWS e di altre tecnologie leader per garantire ai nostri clienti il miglior servizio possibile e la migliore qualità complessiva. Di seguito è riportato un elenco parziale delle soluzioni implementate e i vantaggi che offrono ai clienti

• Cluster ElasticSearch: i cluster Elasticsearch sono altamente disponibili e possono essere recuperati in seguito alla perdita di nodi master, nodi lb e almeno 1 nodo dati, senza influire sulla disponibilità del servizio.
• Archiviazione a blocchi di Elastic: utilizzata per acquisire snapshot giornaliere e archiviare otto (8) copie.
• Ecosistema Kafka: Sia Kafka che Zookeeper replicano i dati nel cluster per fornire tolleranza agli errori in caso di guasto catastrofico di uno dei nodi.
• Istanze Postgres: gestisce il framework dei microservizi backend per conservare 30 giorni di snapshot.

I dati replicati vengono archiviati all'interno della stessa regione.

I disastri sono eventi che provocano la perdita irreversibile di dati o apparecchiature in una o più regioni.

Le procedure di disaster recovery di Tenable Vulnerability Management hanno diversi livelli e sono progettate per reagire a situazioni che possono verificarsi con frequenza variabile da una volta ogni cinque anni a una volta ogni 50 anni. A seconda della portata dell'incidente, il tempo necessario per le procedure di ripristino può variare da 60 minuti a 48 ore.

I clienti controllano chi ha accesso ai propri dati, inclusa l'assegnazione di ruoli e autorizzazioni al proprio personale e la concessione temporanea dell'accesso al personale di supporto di Tenable.

Gli amministratori dei clienti di Tenable Vulnerability Management possono assegnare ruoli utente (di base, standard, amministratore e disabilitato) per gestire l'accesso a scansioni, policy, scanner, agenti ed elenchi di risorse.

Sì,Con l'autorizzazione del cliente, i membri di terzo livello del personale di supporto globale di Tenable possono impersonare gli account utente, consentendo loro di eseguire operazioni in Tenable Vulnerability Management come un altro utente senza doverne ottenere la password. Lo staff di supporto di Tenable, o il cliente, può effettuare la richiesta per attivare la funzione. Lo staff di supporto Tenable richiede al cliente di "approvare" l'impersonificazione tramite una nota nel caso in cui sia stata attivata una richiesta di supporto. L'autorizzazione deve essere concessa per ogni problema registrato al servizio di supporto. Tenable non invierà le richieste di "OK" in maniera generalizzata allo scopo di attuare l'impersonificazione in qualunque momento. L'impersonificazione dell'utente potrebbe comportare l'uscita dei dati dalla posizione principale.

Tutto il personale operativo di Tenable Vulnerability Management è tenuto a superare un controllo sull'identità eseguito da terze parti. Inoltre, tutti i membri senior del team hanno maturato almeno cinque anni di esperienza presso società di software di sicurezza basato su SaaS e molti possiedono certificazioni in materia di sicurezza, come CISSP.

Tenable ha un processo di assunzione e di risoluzione del contratto molto ben definito. Tutti i dipendenti sono tenuti a firmare accordi di non divulgazione come parte integrante della loro assunzione e tutti gli account e le chiavi di accesso vengono immediatamente revocati al momento della risoluzione.

Solo i membri dello staff di supporto di terzo livello di Tenable possono utilizzare la funzione di impersonificazione.

Sì.

Tenable sta facendo ogni sforzo per garantire che i dati dei clienti siano protetti e ci assicuriamo che le loro policy vengano seguite collaborando con i clienti per garantire che i dati rimangano nella regione richiesta. Tuttavia, potrebbero verificarsi dei casi in cui i clienti inviino un report tramite e-mail a Tenable o infrangano in altro modo la policy, ad esempio inviando e-mail al di fuori della propria regione.

No. Tutto il traffico viene avviato dallo scanner ed è solo in uscita. Gli scanner vengono installati oltre il firewall del cliente e possono controllare l'accesso degli scanner tramite il proprio firewall.

I periodi di conservazione dei dati sono pensati per soddisfare i vari requisiti normativi e le esigenze dei clienti.

La capacità di misurare i progressi nel tempo è una funzione fondamentale della piattaforma Tenable Vulnerability Management. Tenable Vulnerability Management memorizzerà automaticamente i dati dei clienti per 15 mesi per consentire loro di effettuare report su un periodo di tempo di un (1) anno.

Se i clienti necessitano di un periodo di archiviazione superiore a 15 mesi, Tenable Vulnerability Management fornisce diversi metodi per scaricare i dati dei clienti, i quali possono poi archiviarli in base alle esigenze.

Se l'account di un cliente dovesse scadere o terminare, Tenable conserverà i dati, così come erano al momento della scadenza, per non più di 180 giorni. Trascorso tale termine, i dati potranno essere cancellati e non potranno più essere recuperati.

I dati coinvolti in un processo di convalida della conformità PCI non vengono eliminati prima di almeno tre anni dalla data dell'attestato PCI, come previsto dalle normative PCI. Tenable conserva tali dati per il periodo di tempo indicato, anche se il cliente sceglie di eliminare le proprie scansioni o l'account o di interrompere il servizio Tenable Vulnerability Management.

Per garantire la migliore esperienza possibile, continuiamo a raccogliere queste informazioni finché un contenitore cliente rimane attivo. Una volta che un cliente interrompe il servizio, i dati saranno conservati per non più di 180 giorni.

La certificazione Common Criteria generalmente non viene applicata a una soluzione SaaS, poiché la frequenza degli aggiornamenti non si presta a un processo di certificazione che richiede dai sei ai nove mesi per essere completato.

In via del tutto eccezionale, nel caso in cui, prima della distribuzione, un cliente dovesse richiedere una regione geografica specifica, Tenable attiverà il cliente nella regione scelta. Le posizioni attuali sono:

• Stati Uniti d'America
• Londra
• Francoforte
• Sydney
• Singapore
• Canada
• Giappone
• Brasile
• India

No. Tenable attualmente non replica i dati da una posizione all'altra.

Il termine PCI ASV fa riferimento al requisito 11.2.2 dei requisiti standard di sicurezza dei dati dell'industria delle carte di pagamento (Payment Card Industry Data Security Standard, PCI DSS) e delle procedure di valutazione della sicurezza che richiedono scansioni trimestrali delle vulnerabilità esterne, che devono essere eseguite (o attestate) da un fornitore di scansioni approvato (Approved Scanning Vendor, ASV). Un ASV è un'organizzazione che fornisce una serie di servizi e strumenti ("Soluzione di scansione ASV") per convalidare la conformità al requisito di scansione esterna del requisito 11.2.2 PCI DSS.

Il PCI DSS richiede la scansione delle vulnerabilità di tutti i componenti di sistema accessibili dall'esterno (con connessione a Internet) posseduti o utilizzati dal cliente della scansione che fanno parte dell'ambiente dei dati del titolare della carta, nonché di qualsiasi componente di sistema esterno che fornisca un percorso verso l'ambiente dei dati del titolare della carta.

Le fasi principali di una scansione ASV sono:

• Definizione dell'ambito: Viene eseguita dal cliente per includere tutti i componenti del sistema con connessione Internet che fanno parte dell'ambiente dei dati dei titolari di carta.
• Scansione: Viene utilizzato il modello di scansione esterna trimestrale PCI di Tenable Vulnerability Management
• Reporting/correzione: I risultati dei report provvisori vengono corretti.
• Risoluzione delle controversie: cliente e ASV collaborano per documentare e risolvere i risultati di scansione contestati.
• Nuova scansione (se necessario): Fino a quando non viene generata una scansione che risolve controversie ed eccezioni.
• Reporting finale: Inviato e consegnato in modo sicuro.

Le scansioni delle vulnerabilità ASV sono richieste almeno trimestralmente e dopo qualsiasi cambiamento significativo nella rete, come installazioni di nuovi componenti di sistema, cambiamenti nella topologia di rete, modifiche alle regole del firewall o aggiornamenti del prodotto.

Un fornitore di scansioni approvato (ASV) esegue specificamente solo le scansioni di vulnerabilità esterne descritte in PCI DSS 11.2. Per valutatore di sicurezza qualificato (QSA) si intende una società di valutazione qualificata e formata dal PCI Security Standards Council (SSC) per eseguire valutazioni PCI DSS generali in loco.

Sì. Tenable ha la qualifica di fornitore di scansioni approvato (ASV) che permette di convalidare le scansioni di vulnerabilità esterne degli ambienti collegati a Internet (utilizzati per archiviare, elaborare o trasmettere i dati dei titolari di carta) di commercianti e fornitori di servizi. Il processo di qualificazione ASV è composto da tre parti: la prima prevede la qualificazione di Tenable Network Security come fornitore. Il secondo titolo riguarda la qualificazione dei dipendenti Tenable responsabili dei servizi di scansione PCI remota. Il terzo consiste nel test di sicurezza della soluzione di scansione remota Tenable (Tenable Vulnerability Management e Tenable PCI ASV).

Gli ASV possono eseguire le scansioni. Tuttavia, Tenable si affida ai clienti per eseguire le proprie scansioni utilizzando il modello di scansione esterna trimestrale PCI. Questo modello impedisce ai clienti di modificare le impostazioni di configurazione, ad esempio disabilitare i controlli di vulnerabilità, assegnare livelli di gravità, alterare i parametri di scansione, ecc. I clienti utilizzano gli scanner basati su cloud di Tenable Vulnerability Management per eseguire la scansione degli ambienti collegati a Internet e quindi inviare report di scansione conformi a Tenable per l'attestazione. Tenable attesta i report di scansione ricevuti, quindi il cliente li invia ai propri acquirenti o marchi di pagamento come indicato dai marchi di pagamento.

I dati sulla vulnerabilità non rientrano tra i dati protetti dalla Direttiva 95/46/CE, quindi qualsiasi requisito di residenza dei dati può essere stabilito direttamente dal cliente e non per conformità normativa. Le organizzazioni governative statali dell'UE potrebbero avere i propri requisiti di residenza dei dati, ma questi dovrebbero essere valutati caso per caso e probabilmente non sarebbero un problema per le scansioni PCI-ASV.

Sì, Tenable Vulnerability Management include una licenza PCI ASV per un singolo asset PCI univoco. Alcune organizzazioni si sono impegnate a limitare gli asset nell'ambito PCI, spesso esternalizzando le funzioni di elaborazione dei pagamenti. Poiché questi clienti probabilmente "non appartengono al settore PCI", Tenable ha semplificato gli acquisti e le licenze. Un cliente può modificare il proprio asset ogni 90 giorni.

Per i clienti che dispongono di più di un singolo asset PCI univoco, la soluzione Tenable PCI ASV è concessa in licenza come componente aggiuntivo per gli abbonamenti Tenable Vulnerability Management.

Il numero di host connessi a Internet che si trovano all'interno o forniscono un percorso verso l'ambiente dei dati del titolare della carta (Cardholder Data Environment, CDE) può cambiare frequentemente, creando così complessità nelle licenze. Tenable ha scelto di utilizzare un approccio all'emissione delle licenze molto più semplice.

I clienti possono inviare un numero illimitato di attestazioni trimestrali.

Sì. Un cliente in fase di valutazione può utilizzare il modello di scansione esterna trimestrale PCI per eseguire la scansione delle risorse e analizzare i risultati. Non ha però la possibilità di inviare i report sulle scansioni per l'attestazione.