Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

FAQs zu Tenable.io

Testen Sie Tenable.io

Führen Sie Ihren ersten Scan in weniger als 60 Sekunden durch.

Jetzt testen

Allgemeine Fragen

Was ist Tenable.io®?

Tenable.io ist eine zentrale Komponente der Tenable Cyber Exposure-Plattform, die handlungsrelevante Erkenntnisse zu den Sicherheitsrisiken Ihrer gesamten Infrastruktur liefert. So können Sie Schwachstellen und Fehlkonfigurationen in Ihrer modernen IT-Umgebung schnell und genau identifizieren, untersuchen und priorisieren.

Tenable.io verschafft Ihnen Klarheit über Ihre Sicherheitslage und Ihren Compliance-Status. Tenable.io basiert auf der führenden Nessus® Vulnerability Assessment-Technologie von Tenable und bietet einen neuen, Asset-basierten Ansatz, der Ihre Ressourcen genau verfolgt und gleichzeitig dynamische Assets wie Cloud und Container unterstützt. Tenable.io priorisiert Ihre Schwachstellen, integriert sich nahtlos in Ihre Umgebung und sorgt so für ein Maximum an Sichtbarkeit und Erkenntnissen.

Neben dem Schwachstellen-Management von Tenable.io bietet die Tenable Cyber Exposure-Plattform Applikationen, die zusätzliche und spezielle Sicherheitsanforderungen erfüllen, darunter Tenable.io Web Application Scanning und Tenable.io Container Security. Diese Applikationen können einzeln lizenziert werden; es gibt keine Voraussetzungen oder Mitkaufbedingungen.

Wie kann ich mehr über Tenable.io erfahren?

Um mehr über Tenable.io zu erfahren, besuchen Sie die Produktseite von Tenable.io, nehmen Sie an einem der nächsten Webinare teil oder kontaktieren Sie für weitere Informationen Ihren zertifizierten Tenable-Partner oder Ihren Tenable-Vertreter.

Wie kann ich Tenable.io-Anwendungen testen?

Bitte registrieren Sie sich für einen kostenlosen Test von Tenable.io unter http://www.tenable.com/try

Wie kann ich Tenable.io-Anwendungen kaufen?

Wenden Sie sich für den Kauf an Ihren lokalen zertifizierten Tenable-Partner, kontaktieren Sie Ihren Tenable-Vertreter oder besuchen Sie tenable.com.

Kann ich Tenable-Applikationen einzeln lizenzieren lassen?

Ja. Tenable-Applikationen können alle einzeln lizenziert werden. Beispielsweise können Tenable.io Container Security und Tenable.io Web Application Scanning eigenständig lizenziert werden, ohne die Schwachstellen-Management-Funktionen von Tenable.io.

Wie lauten die Preise und das Lizenzierungsmodell von Tenable.io?

Tenable.io wird im Rahmen einer jährlichen Subscription lizenziert. Die Preisermittlung erfolgt nach Assets und nicht nach IP-Adressen. So können Kunden neue Technologien wie Cloud-Anwendungen ohne Angst vor Doppelzählungen nutzen.

Weitere Informationen zu Preisen und Lizenzen finden Sie im nachfolgenden Abschnitt.

Wie wird ein Asset definiert?

Ein Asset ist eine Einheit, die analysiert werden kann. Dazu gehören beispielsweise Desktops, Laptops, Server, Speichergeräte, Netzwerkgeräte, Telefone, Tablets, virtuelle Maschinen, Cloud-Instanzen und Container.

Weitere Informationen zu Preisen und Lizenzen finden Sie im nachfolgenden Abschnitt.

Wie erfolgt die Preiskalkulation und Lizenzierung für die anderen Anwendungen von Tenable.io?

Die beiden Anwendungen Tenable.io Containersicherheit und Scannen von Webanwendungen werden im Rahmen eines Jahresabonnements lizenziert, wobei sich der Preis nach der Anzahl der Assets richtet. Der Preis für Tenable.io Containersicherheit richtet sich nach dem gesamten Speichervolumen der einzelnen Container-Image-Ebenen, die von der Anwendung bewertet werden; der Preis für die Anwendung Tenable.io Scannen von Webanwendungen hängt von der Gesamtzahl der vollständig qualifizierten Domänennamen (FQDN) ab, die vom Produkt bewertet werden.

Weitere Informationen zu Preisen und Lizenzen finden Sie im nachfolgenden Abschnitt.

Bietet Tenable eine Dienstleistungsvereinbarung (SLA, Service Level Agreement) für Tenable.io an?

Ja, Tenable bietet als erstes Unternehmen in der Branche des Schwachstellenmanagements eine Verfügbarkeitsgarantie für Tenable.io mittels einer robusten Dienstleistungsvereinbarung (SLA, Service Level Agreement). Servicegutschriften werden angeboten, wenn das SLA nicht eingehalten wird, genau wie bei führenden Cloud-Anbietern wie Amazon Web Services.

Wo finde ich Dokumentation zu Tenable.io?

Technische Dokumentation für alle Tenable-Produkte, einschließlich Tenable.io, finden Sie unter https://docs.tenable.com/

Welche IPs verwendet Tenable für das Scannen aus der Cloud?

Tenable.io ist standardmäßig mit regionsspezifischen Cloud-Scannern konfiguriert. Weitere Informationen finden Sie in unserer Dokumentation.

Hat die Veröffentlichung von Tenable.io Auswirkungen auf Tenable.sc?

Nein. Es gibt keine Auswirkungen auf Tenable.sc oder für unsere Kunden, die diese Produkte verwenden. Tenable.io ist unsere cloudbasierte Cyber Exposure-Plattform. Tenable.sc ist die Cyber Exposure-Plattform für Kunden, die eine On-Prem-Lösung bevorzugen.

Können Tenable.sc und Tenable.io nebeneinander verwendet werden?

Ja. Sie können beide Lösungen nutzen, und wir gehen davon aus, dass viele Kunden von Tenable.sc daran interessiert sein werden, neben Tenable.sc auch Tenable.io Web Application Scanning, Tenable.io PCI-ASV und/oder Tenable.io Container Security einzusetzen.

Ist eine Migration von Tenable.sc zu Tenable.io möglich?

Ja. Für interessierte Kunden gibt es eine Reihe von Möglichkeiten, von Tenable.sc auf Tenable.io zu migrieren, mit voller Unterstützung von Tenable oder Ihrem zertifizierten Partner. Für weitere Informationen wenden Sie sich bitte an Ihren zertifizierten Tenable-Partner oder Tenable-Vertriebsmitarbeiter.

Was ist Tenable.io Scannen von Webanwendungen?

Tenable.io Scannen von Webanwendungen bietet eine umfassende Schwachstellenüberprüfung für moderne Webanwendungen. Die genaue Abdeckung von Schwachstellen minimiert falschpositive und falschnegative Ergebnisse und stellt sicher, dass die Sicherheitsteams die wahren Sicherheitsrisiken in ihren Webanwendungen verstehen.

Die Anwendung ermöglicht ein sicheres externes Scannen, das sicherstellt, dass auch Webanwendungen in der Produktion, die mit HTML5 und AJAX-Frameworks erstellt wurden, nicht gestört oder verzögert werden. Wenn Probleme erkannt werden, können sich Sicherheitsteams ein intuitives Dashboard anzeigen lassen, das die für die Bewertung und Verwaltung von Schwachstellen erforderlichen Informationen enthält.

Wo kann ich mehr über Tenable.io Scannen von Webanwendungen erfahren oder es testen?

Weitere Informationen zum Scannen von Webanwendungen von Tenable.io finden Sie auf der Produktseite von Tenable.io. Bitte registrieren Sie sich für einen kostenlosen Test unter tenable.com/try-was oder kontaktieren Sie für weitere Informationen Ihren zertifizierten Tenable-Partner oder Ihren Tenable-Vertreter.

Scannt das Produkt den Quellcode oder führt es statische Analysen durch?

Nein. Tenable.io Scannen von Webanwendungen ist eine Lösung für dynamische Tests zur Anwendungssicherheit (DAST, Dynamic Application Security Testing), die eine Web-Anwendung „von außen“ testet, wenn die Anwendung in einer Test- oder Produktionsumgebung läuft.

Was ist Tenable.io Containersicherheit?

Als einziges Produkt für Container-Sicherheit, das in eine Plattform zum Schwachstellen-Management integriert ist, überwacht Tenable.io Container Security kontinuierlich Container-Images auf Schwachstellen, Malware und die Einhaltung von Unternehmensrichtlinien. Indem Unternehmen Sicherheit vorab in den Build-Prozess von Containern integrieren, können sie verborgene Sicherheitsrisiken in Containern erkennen und beheben, bevor diese Produktionsumgebungen erreichen – ohne Innovationszyklen zu verlangsamen.

Basierend auf der FlawCheck-Technologie speichert Tenable.io Containersicherheit Container-Images und scannt sie während der Erstellung. Die Anwendung erkennt Schwachstellen und Malware und bietet eine kontinuierliche Überwachung von Container-Images. Durch die Integration mit den kontinuierlichen Integrations- und Bereitstellungssystemen (CI/CD), die Container-Images erstellen, stellt Tenable.io Containersicherheit sicher, dass jeder Container, der die Produktion erreicht, sicher ist und den Unternehmensrichtlinien entspricht.

Wo kann ich mehr über Tenable.io Containersicherheit erfahren oder es testen?

Weitere Informationen zu Tenable.io Containersicherheit finden Sie auf der Produktseite von Tenable.io. Bitte registrieren Sie sich für einen kostenlosen Test unter enable.com/try-container oder kontaktieren Sie für weitere Informationen Ihren zertifizierten Tenable-Partner oder Ihren Tenable-Vertreter.

Was ist Centralized Credential Management (CCM) in Tenable.io und welche Vorteile bietet es?

Dank Centralized Credential Management können Credentials separat erstellt und dann auf Scans angewendet werden. Bisher waren Credentials in Tenable.io mit Scan-Richtlinien verknüpft. Jedes Mal, wenn ein neuer Scan erstellt wurde, mussten die Credentials für die anvisierten Assets eingegeben werden. Richteten sich mehrere Scans auf dieselben Assets, mussten die Credentials mehrere Male eingegeben werden. Wenn sich die Credentials änderten, mussten sie für jeden Scan geändert werden, der diese Assets anvisierte.

Centralized Credential Management bietet mehrere Vorteile:

  • Ermöglicht eine Rollentrennung zwischen demjenigen, der die Credentials erstellt, und der Person, die diese Daten bei einem Scan verwenden kann.
  • Credentials können mehrmals wiederverwendet werden, ohne dass sie erneut eingegeben werden müssen. Die erneute Eingabe ist besonders dann problematisch, wenn es sich bei dem Credentials- und dem Scan-Verwalter um verschiedene Personen innerhalb der Organisation handelt.
  • Credentials können zentral aktualisiert werden. Diese Aktualisierung findet in allen Scans Anwendung, bei denen die Credentials verwendet werden (d.h. Eins-zu-Viele-Beziehung).

Was sind Access Groups bei Tenable.io und welche Vorteile bieten sie?

Mithilfe von Zugriffsgruppen (Access Groups) können Kunden Assets in logische Gruppen unterteilen, die mit den internen Unternehmensstrukturen übereinstimmen. So haben Nutzer lediglich Zugriff auf die Assets innerhalb ihres eigenen Bereichs.

Zugriffsgruppen bieten folgende Vorteile:

  • Mehr Effizienz und Granularität beim administrativen Support sowie Asset-Untergliederung für von AWS überwachte/bewertete Umgebungen.
  • Effizienterer und detaillierter administrativer Support sowie Asset-Aufteilung über Unternehmen hinweg auf der Grundlage vordefinierter Regeln mit FQDNs und IP-Adressen (z. B. nach Geschäftsbereich).
  • Vereinfachung der Administration basierend auf der Möglichkeit des Imports mehrerer Assets und der manuellen Aufteilung dieser Assets durch eine veröffentlichte API.
  • Vereinfachte Administration von Zugangsgruppen durch eine intuitive, benutzerfreundliche UI auf der Grundlage eines modernen UI-Frameworks.

Fragen zu Elastic Asset-Lizenzierung

Die in Tenable.io integrierte Elastic Asset-Lizenzierung ist eine Innovation, mit der die Schwachstellen-Management-Lizenzierung an die elastischen IT-Umgebungen der heutigen Zeit angeglichen wird. Die Elastic Asset-Lizenzierung vermeidet Doppelzählungen von Assets mit mehreren und/oder wechselnden IP-Adressen. Außerdem werden automatisch Lizenzen von Assets zurückgefordert, die nicht kürzlich gescannt wurden, einschließlich nicht mehr in Verwendung befindlicher Assets und Assets, die versehentlich gescannt wurden.

Worum handelt es sich bei der Elastic Asset-Lizenzierung von Tenable.io?

Elastic Asset Lizenzierung verbindet Tenable mit Kunden, um Kundennetzwerke kostengünstig abzusichern. Es beinhaltet die folgenden Funktionen:

  • Assets, nicht IPs: Tenable.io analysiert mehrere Asset-Attribute, nicht nur IP-Adressen, um ein Asset zu identifizieren. Ein proprietärer Algorithmus gleicht neu erkannte Assets mit bereits erfassten Assets ab, um Doppelzählungen zu vermeiden und eine genauere Schwachstellenberichterstattung zu gewährleisten.
  • Ausgewogen, keine Lizenzierung von Assets, wenn diese nur kurzfristig, aber in hohen Zahlen vorhanden sind: Tenable.io ordnet Lizenzen nur den Assets zu, die in den letzten 90 Tagen gesehen wurden. Es fordert automatisch Lizenzen für Assets zurück, die stillgelegt, versehentlich gescannt oder selten aktiv sind. Tenable.io bewahrt die Schwachstellen- und Konfigurationsdaten dieser Assets auf, sodass bei einer automatisierten Lizenzrückgewinnung keine Nachteile entstehen.
  • Anpassung statt Aussperrung: Tenable.io ermöglicht es Kunden, den Lizenzverbrauch zu überwachen, zu korrigieren und bei Bedarf anzupassen. Es sperrt nicht automatisch die Funktionalität, wenn der Lizenzverbrauch vorübergehend überschritten wird.

Was sind die Vorteile einer Elastic Asset-Lizensierung?

Die wichtigsten Vorteile sind:

  • Kunden kaufen die richtige Anzahl an Lizenzen, basierend auf der Anzahl der Assets und nicht auf der aufgeblasenen Anzahl der IPs.
  • Kunden vermeiden zeitaufwändige und oft ungenaue Projekte, die für die Rückforderung von Lizenzen aus stillgelegten und/oder versehentlich gescannten Assets erforderlich sind.
  • Metriken des Schwachstellenmanagements werden nicht durch doppelte oder dreifache Zählung von Schwachstellen für Assets mit mehreren IP-Adressen verfälscht.

Können Kunden von Tenable.io mehr Assets scannen als lizenziert sind?

Ja, vorübergehend können Kunden die lizenzierte Anzahl von Assets überschreiten. Wenn die Anzahl der Lizenzen längerfristig überschritten wird, müssen Kunden diese selbstverständlich anpassen.

Wie können Kunden von Tenable.io den Lizenzstatus bestimmen?

Die Benutzeroberfläche von Tenable.io zeigt sowohl die Anzahl der lizenzierten Assets als auch die tatsächliche Lizenznutzung an.

Was ist ein Asset?

Ein Asset ist eine Einheit, die analysiert werden kann. Dazu gehören beispielsweise Desktops, Laptops, Server, Speichergeräte, Netzwerkgeräte, Telefone, Tablets, virtuelle Maschinen, Hypervisoren und Container.

Wie identifiziert Tenable.io ein Asset?

Wenn Tenable.io zum ersten Mal ein Asset identifiziert, erfasst es mehrere Identifikationsattribute, darunter eine BIOS-UUID, die MAC-Adresse des Systems, den NetBIOS-Namen, FQDN und/oder andere Attribute, die zur zuverlässigen Identifizierung eines Assets verwendet werden können. Zusätzlich weisen authentifizierte Scan- und Nessus-Agenten dem Gerät eine Tenable UUID zu. Wenn Tenable.io nachfolgende ein Asset scannt, vergleicht es dieses mit zuvor erkannten Assets. Wenn das neu erkannte Asset nicht mit einem zuvor erkannten Asset übereinstimmt, wird das Asset zum Asset-Bestand von Tenable.io hinzugefügt.

Wie unterscheiden sich Assets von IPs?

IPs sind in der Regel eine Eigenschaft eines Assets, und viele Assets haben mehrere IPs zugewiesen (z.B. DHCP-Geräte, Systeme mit drahtgebundenen und drahtlosen Schnittstellen usw.).

Warum ist die Anzahl der Assets wahrscheinlich niedriger als die Anzahl der IPs?

Häufig verfügen Anlagen über mehrere Netzwerkschnittstellenkarten, so dass auf sie von mehreren Netzwerken zugegriffen werden kann. Zum Beispiel kann ein Webserver gleichzeitig in einem Produktionsnetzwerk und einem administrativen Netzwerk gewesen sein oder ein Laptop kann oft sowohl über eine drahtgebundene als auch eine drahtlose Netzwerkschnittstelle verfügen. Außerdem erhalten Laptops oft neue IPs, wenn sie von einem Standort zum anderen wechseln. Werden sie einmal mit einer IP und dann mit einer anderen IP gescannt, werden sie doppelt gezählt.

Wie können Interessenten die Anzahl ihrer Assets schätzen?

Tenable.io unterstützt unbegrenzte Scans mit aktiven und passiven Sensoren. Mithilfe dieser Scans kann der Kunde alle seine Assets umfassend inventarisieren und die passende Lizenzgröße bestimmen.

Wie wird verhindert, dass dasselbe Asset mehrfach gezählt wird?

Tenable.io unterstützt eine Vielzahl von Methoden, um Doppel- oder Dreifachzählungen desselben Assets bei der Berechnung der angemessenen Lizenzgröße zu vermeiden. Bei traditionellen Assets verwendet Tenable.io einen proprietären Algorithmus, der neu erkannte Assets mit bereits erkannten Assets abgleicht, um Duplikate zu eliminieren und eine genauere Schwachstellenberichterstattung zu ermöglichen. Bei Docker-Containern identifiziert Tenable.io Container Security Docker-Layer, die mehrfach in Ihren Container-Registrys verwendet werden, und entfernt sie in der Lizenzberechnung. Mit anderen Worten, wenn einem Docker-Layer in mehreren Tags, in mehreren Images oder in mehreren Registrys verwendet wird, wird diese Ebene nur einmal zur Berechnung der Kosten einer Produktlizenz herangezogen.

Fragen zu Datensicherheit und Datenschutz

Der Schutz der Kundendaten und der Datenschutz haben bei Tenable oberste Priorität. Tausende von Kunden, darunter Finanzdienstleister, Gesundheitsdienstleister, Einzelhändler, Bildungseinrichtungen und Behörden, vertrauen Tenable ihre Schwachstellen-Daten in unserer Cloud-Plattform an.

Datensicherheit und Datenschutz schließen ein, dass Kunden nur auf ihre eigenen Daten zugreifen dürfen und dass Nichtkunden, Hacker, bösartige Akteure oder nicht autorisierte Tenable-Vertreter nicht auf Kundendaten, die im Tenable.io-Service gespeichert sind, zugreifen und diese offenlegen, kopieren oder anderweitig verletzen können.

Tenable konzentriert sich zudem auf die Verfügbarkeit und Zuverlässigkeit des Tenable.io-Service, da schlechte Sicherheitskontrollen Probleme verursachen können, die zwar kein Risiko für die Daten der Kunden darstellen, jedoch die Serviceverfügbarkeit beeinträchtigen können. Tenable implementiert und erzwingt Maßnahmen, um Tenable.io in hohem Maße verfügbar zu machen, vor Angriffen oder einfachen Fehlern und Ausfällen zu schützen und immer für unsere Kunden nutzbar zu machen.

Tenable.io nutzt modernste Containertechnologie, um Kundenumgebungen zu schaffen und voneinander zu trennen. Alle Kundenkonten, Schwachstellendaten und Benutzereinstellungen sind in einem Container enthalten, der jedem einzelnen Kunden eindeutig zugeordnet ist.Daten innerhalb eines Containers können nicht in einen anderen Container gelangen oder anderweitig vermischt werden, wodurch die Privatsphäre, Sicherheit und Unabhängigkeit der jeweiligen Kundenumgebung gewährleistet wird.

Welche Kundendaten verwaltet Tenable.io?

Letztendlich haben die von Tenable.io verwalteten Kundendaten nur einen einzigen Zweck: Sie bieten den Kunden ein außergewöhnliches Erlebnis bei der Verwaltung von Assets und Schwachstellen, um so ihre Umgebungen zu schützen. Zu diesem Zweck verwaltet Tenable.io drei Kategorien von Kundendaten:

  1. Asset- und Schwachstellendaten
  2. Umgebungsspezifische Leistungsdaten
  3. Kundennutzungsdaten

Welche Daten zu Kunden-Assets und -Schwachstellen verwaltet Tenable.io?

Tenable.io inventarisiert Assets in Kundennetzwerken und verwaltet Asset-Attribute wie IP-Adresse, MAC-Adresse, NetBIOS-Name, Betriebssystem und -version, aktive Ports und mehr.

Tenable.io-Assetdaten
Beispiel für von Tenable.io verwaltete Assetdaten

Tenable.io sammelt detaillierte aktuelle und historische Schwachstellen- und Konfigurationsdaten, die u. a. Kritikalitäts-, Ausnutzbarkeits- und Abhilfestatus sowie Netzwerkaktivitäten umfassen können. Wenn Kunden die Daten von Tenable.io durch Integrationen in Produkte von Drittanbietern, wie z. B. Asset-Management-Systeme und Patch-Management-Systeme, erweitern, kann Tenable.io außerdem Daten von diesen Produkten verwalten.

Tenable.io Schwachstellendaten
Beispiel für von Tenable.io verwaltete Schwachstellendaten

Analysiert oder nutzt Tenable Kundendaten?

Tenable analysiert derzeit keine Kundendaten. In Zukunft kann Tenable jedoch Kundendaten anonymisieren und analysieren, um Trends in der Branche, Trends in Bezug auf das Wachstum und die Eindämmung von Schwachstellen sowie Trends bei Sicherheitsereignissen zu ermitteln. Zum Beispiel würde die Korrelation zwischen dem Vorhandensein einer Schwachstelle und ihrer Ausnutzung enorme Vorteile für Tenable-Kunden mit sich bringen. Weitere Vorteile sind erweiterte Analysen und eine verbesserte Korrelation von Kundendaten mit Branchen- und Sicherheitsereignissen und -trends. Das Erfassen und Analysieren solcher Daten würde es den Kunden auch ermöglichen, sich gegen andere in der Branche oder insgesamt zu messen. Tenable bietet den Kunden auf Wunsch eine Möglichkeit des Opt-Out.

Welche Tenable.io Zustands- und Statusdaten werden erfasst?

Um die Leistung und Verfügbarkeit von Tenable.io aufrechtzuerhalten und die bestmögliche Benutzerfreundlichkeit zu gewährleisten, erfasst Tenable.io kundenspezifische Informationen zum Applikationsstatus und zum Systemzustand. Dies beinhaltet, wie oft der Scanner mit der Plattform kommuniziert, die Anzahl der gescannten Assets und Versionen der eingesetzten Software sowie andere allgemeine Telemetriedaten, um mögliche Probleme so schnell wie möglich zu erkennen und zu beheben.

Können Kunden der Erfassung von Zustands- und Statusdaten widersprechen?

Tenable nutzt Zustands- und Statusdaten, um potenzielle Probleme rechtzeitig zu erkennen und zu beheben und so die SLA-Verpflichtungen zu erfüllen. Kunden können daher dieser Datenerhebung nicht widersprechen.

Welche Tenable.io Nutzungsdaten werden erfasst?

Zur Auswertung und Verbesserung des Kundenerlebnisses erfasst Tenable anonymisierte Nutzungsdaten. Diese Daten umfassen Seitenzugriffe, Klicks und andere Benutzeraktivitäten, die dem Benutzer eine Stimme geben und so die Benutzererfahrung optimieren und verbessern.

Können Nutzer der Erfassung von Nutzungsdaten widersprechen?

Ja. Ein Kunde kann verlangen, dass sein Container nicht länger an dem Sammelvorgang teilnimmt.

Wo werden die Kundendaten gespeichert?

Tenable nutzt Rechenzentren und Services von Amazon Web Services (AWS), um Kunden Tenable.io zur Verfügung zu stellen und zu liefern. Standardmäßig wählt Tenable einen Kundencontainer in der Region, die am besten dafür geeignet ist, diesem Kunden das bestmögliche Erlebnis zu bieten. Aktuelle Standorte sind:

  • Osten der USA
  • Westen der USA
  • U.S Central
  • London
  • Frankfurt
  • Sydney
  • Singapur

In Ausnahmefällen, wenn ein Kunde vor der Bereitstellung eine bestimmte AWS-Region anfordert, aktiviert Tenable den Kunden in dieser Region.

Da alle Kundendaten in sicheren, regionalen AWS-Diensten gespeichert werden, gelten die Zertifizierungen für den EU-Datenschutz, die AWS besitzt, auch für die Tenable Cloud. Weitere Informationen finden Sie unter https://aws.amazon.com/compliance/eu-data-protection/.

Wird Tenable.io in Zukunft weitere Länder unterstützen? Wenn ja, in welchem Zeitraum?

Ja. Der Zeitrahmen für weitere Standorte ist jedoch noch nicht festgelegt.

Können Daten in anderen AWS-Regionen als der ursprünglichen Region gespeichert werden?

Es gibt Situationen, in denen Daten in anderen Regionen als der ursprünglichen AWS-Region gespeichert werden können.

  • Tenable.io-Kunden können in mehreren AWS-Regionen externe Scans über öffentliche, gemeinsam genutzte Scan-Pools durchführen. Die Wahl eines Scanners in der Nähe des Ziels führt in der Regel zu schnelleren Scans. Beachten Sie, dass, wenn ein Kunde einen Cloud-Scanner verwendet, dessen Lokalität sich von der des Hosting-Accounts unterscheidet, die Scandaten vorübergehend außerhalb der Hosting-Lokalität des Accounts bestehen, aber dort nicht gespeichert werden. Scannt z. B. ein Kunde mit einem Konto in der EU / Deutschland mit einem Scanner in den USA / North Virginia, werden die Scandaten vorübergehend durch die USA transportiert, bevor sie in Frankfurt gespeichert werden. Wenn der Standort der Daten ein Problem darstellt, sollten Kunden nur externe Scans mit Cloud-Scannern in ihrer Region durchführen. Dies kann leicht für jeden einzelnen Scan ausgewählt werden.
  • Wenn ein Kunde Tenable.sc verwendet, werden seine Scan-Daten nicht in der Cloud gespeichert, selbst wenn er einen Teil seiner gesamten Infrastruktur mit Tenable.io scannt.
  • Die Scandaten von Nessus Agent werden in Tenable.io gespeichert, wenn Kunden Scans über Tenable.io ausführen. Wenn Kunden mit Nessus Manager Scans mit Agenten durchführen, werden diese Daten nicht in Tenable.io gespeichert, unabhängig davon, wo die Agenten eingesetzt werden.

Kann ein Kunde die Aufbewahrung von Daten an einem bestimmten Ort/Land erzwingen?

Ja. Die Daten werden in dem Land gespeichert, das beim Anlegen des Kontos ausgewählt wurde.

Wie werden Kundendaten innerhalb von Tenable.io geschützt?

Tenable wendet mehrere Sicherheitsmaßnahmen an, um die Datensicherheit und den Datenschutz bei Tenable.io zu gewährleisten.

Wie funktioniert eine sichere Entwicklung bei Tenable?

Tenable befolgt einer Reihe von Praktiken, um die Sicherheit der Tenable.io-Anwendungssoftware zu gewährleisten.

Die Tests werden von drei verschiedenen Gruppen innerhalb von Tenable durchgeführt:

  • Die Sicherheitstests werden vom Entwicklungsteam durchgeführt;
  • Das Tenable IT Security-Team führt Schwachstellen-Tests auf Tenable.io sowohl vor als auch nach der Implementierung durch (Tests nach der Implementierung sind ungeplant, ohne Vorwarnung an andere Teams); und
  • Tenable bietet eine zusätzliche Sicherheitsüberprüfung des Quellcodes und der Änderungen vor der Bereitstellung.

Die gesamte Softwarebereitstellung wird automatisiert und nur über das Build-System durchgeführt, das über firmeninterne LDAP-Zugangsdaten authentifiziert wird, oder über Ansible, das über private SSH-Schlüssel authentifiziert wird. Alle Einsätze werden protokolliert und verfolgt, und die Benachrichtigung über Einsätze (geplant oder ungeplant) wird automatisch an das Tenable-Entwicklungsteam gesendet.

Alle Änderungen am Quellcode werden verfolgt und mit dem Release verknüpft, in dem die Änderung installiert wird. Dieses Tracking stellt sicher, dass es eine vollständige Historie jeder Änderung gibt, wer sie vorgenommen hat, wann sie durchgeführt wurde und letztendlich, wann die Änderung in der Produktion eingesetzt wurde.

Jede Bereitstellung wird von mindestens zwei Tenable-Teammitgliedern genehmigt. Alle Änderungen und Bereitstellungen werden allen Teammitgliedern mitgeteilt. Die Software wird zunächst in Testumgebungen eingesetzt und dann über einen längeren Zeitraum an Produktionsinstanzen „ausgerollt“.

Welche Sicherheitsmaßnahmen für Kundenanwendungen gibt es?

  • Die Gewährleistung eines sicheren und autorisierten Zugriffs auf Tenable.io hat für unsere Entwicklungs- und Betriebsteams hohe Priorität. Tenable.io bietet eine Reihe von Mechanismen, um Kundendaten zu schützen und den Zugriff zu kontrollieren. Wir schützen vor Brute-Force-Angriffen, indem wir Konten nach fünf (5) fehlgeschlagenen Anmeldeversuchen sperren.
  • Zum Schutz vor dem Abfangen von Daten wird die gesamte Kommunikation zur Plattform über SSL (TLS-1.2) verschlüsselt. Außerdem werden ältere, unsichere SSL-Übertragungen abgelehnt, um so ein Höchstmaß an Schutz zu gewährleisten.
  • Um den Zugriff auf die Plattform zu schützen, können Kunden die Zwei-Faktor-Authentifizierung über Dienste von Twillo konfigurieren.
  • Kunden können Tenable.io in ihre SAML-Bereitstellung integrieren. Tenable.io unterstützt sowohl von IdP als auch von SP initiierte Anfragen. Außerdem können Benutzer ihr Passwort direkt in der Anwendung unter Verwendung ihrer E-Mail-Adresse zurücksetzen.
  • Kunden bauen oft Kundenverbindungen zu Tenable.io über unsere dokumentierten APIs oder SDKs auf. Der Zugriff kann durch die Erstellung spezifischer API-Schlüssel gewährt und kontrolliert werden. Die Verwendung unterschiedlicher Schlüssel für verschiedene Integrationen wird unterstützt, ohne dass Benutzerdaten freigegeben werden müssen.

Wie werden Kundendaten geschützt?

Tenable wendet mehrere Sicherheitsmaßnahmen an, um die Datensicherheit und den Datenschutz bei Tenable.io zu gewährleisten.

Wie werden die Daten verschlüsselt?

Auf der Tenable.io-Plattform werden sämtliche Daten in allen Zuständen mit mindestens einer Verschlüsselungsstufe verschlüsselt, wobei nicht weniger als AES-256 verwendet wird.

Im Ruhezustand – Die Daten werden auf verschlüsselten Medien mit mindestens einer Stufe der AES-256-Verschlüsselung gespeichert.

Einige Datenklassen enthalten eine zweite Stufe der Verschlüsselung pro Datei.

In Transport – Die Daten werden beim Transport mit TLS v1.2 mit einem 4096-Bit-Schlüssel verschlüsselt (einschließlich interner Transporte).

Tenable.io Sensorkommunikation – Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Scanner-zu-Plattform-Authentifizierung
    • Die Plattform generiert einen zufälligen 256-Bit-Schlüssel für jeden an den Container angeschlossenen Scanner und übergibt diesen während des Verknüpfungsprozesses an den Scanner
    • Scanner verwenden diesen Schlüssel, um sich beim Anfordern von Aufträgen, Plugin-Updates und Updates der Scanner-Binärdatei bei der Steuerung zu authentifizieren
  • Scanner-zu-Plattform Jobkommunikation
    • Alle 30 Sekunden kontaktieren die Scanner die Plattform
    • Wenn es einen Job gibt, generiert die Plattform einen zufälligen 128-Bit-Schlüssel
    • Der Scanner fordert die Richtlinie von der Plattform an
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln, die die Anmeldeinformationen enthält, die während des Scans verwendet werden sollen

In Backups / Replikation – Datei-Überblicke und Datenreplikate werden mit dem gleichen Verschlüsselungsgrad wie ihre Quelle gespeichert, jedoch nicht weniger als AES-256. Die gesamte Replikation erfolgt über den Provider. Tenable erstellt keine Backups von Daten auf physischen, externen Medien oder physischen Systemen.

In Indizes – Indexdaten werden auf verschlüsselten Medien mit mindestens einer Stufe der AES-256-Verschlüsselung gespeichert.

Scan-Anmeldeinformationen – Werden innerhalb einer Richtlinie gespeichert, die innerhalb des globalen Schlüssels AES-256 des Containers verschlüsselt ist. Wenn Scans gestartet werden, wird die Richtlinie mit einem zufälligen 128-Bit-Schlüssel verschlüsselt und mit TLS v1.2 mit einem 4096-Bit-Schlüssel transportiert.

Schlüsselverwaltung – Schlüssel werden zentral gespeichert, mit einem rollenbasierten Schlüssel verschlüsselt und der Zugriff ist begrenzt. Alle gespeicherten verschlüsselten Daten können auf einen neuen Schlüssel umgeschrieben werden. Die Verschlüsselungsschlüssel für die Datensätze sind von Region zu Region unterschiedlich, ebenso wie die Schlüssel auf Festplattenebene. Eine Weitergabe von Schlüsseln ist nicht gestattet und die Schlüsselverwaltung wird jährlich überprüft.

Können Kunden ihre eigenen Schlüssel hochladen?

Die Schlüsselverwaltung ist nicht kundenseitig konfigurierbar. Tenable verwaltet die Schlüssel und die Schlüsselrotation.

Hat Tenable irgendwelche Datenschutz- oder Sicherheitszertifikate wie das Datenschutzschild oder CSA STAR erhalten?

Tenable Network Security erfüllt die Anforderungen des EU-US Datenschutzschild und des Schweiz – US Datenschutzschild US-Handelsministeriums hinsichtlich der Erfassung, Verwendung und Speicherung von personenbezogenen Daten, die von der Europäischen Union bzw. der Schweiz in die USA übermittelt werden. Tenable Network Security hat sich mittels Zertifizierung gegenüber dem Handelsministerium zur Einhaltung der Grundsätze dieses Abkommens verpflichtet. Im Falle von Widersprüchen zwischen vorliegender Datenschutzrichtlinie und den Grundsätzen des Datenschutzschilds gelten die Grundsätze des Datenschutzschilds. Weitere Informationen zum Programm des Datenschutzschilds sowie unsere Verpflichtungserklärung finden Sie unter https://www.privacyshield.gov/.

Tenable hat die Selbstbewertung der Cloud Security Alliance (CSA) STAR abgeschlossen. Die Antworten von Tenable auf den Fragebogen der Consensus Assessment Initiative (CAIQ) beantworten eine Reihe von über 140 sicherheitsrelevanten Fragen, die ein Interessent, Kunde oder Partner von Tenable.io möglicherweise benötigt. CSA STAR ist das leistungsstärkste Programm der Branche für die Sicherheit in der Cloud. STAR (Security Trust & Assurance Registry) umfasst die wichtigsten Grundsätze der Transparenz, der strengen Prüfung und der Harmonisierung von Standards, einschließlich der Angabe von Best Practices und der Validierung der Sicherheitslage von Cloud-Angeboten.

Wie sind personenbezogene Daten geschützt?

Die Tenable.io-Plattform bemüht sich, Typen personenbezogener Daten nicht in einem Format zu erfassen, das zusätzliche Zertifizierungen oder Sicherheitsmaßnahmen erfordert. Dazu gehören Kreditkartennummern, Sozialversicherungsnummern und andere benutzerdefinierte Überprüfungen. Wenn Tenable-Plugins Zeichenfolgen erfassen, die sensible oder personenbezogene Informationen enthalten können, verschleiert die Plattform automatisch mindestens 50 % der Zeichen, um so sensible Daten zu schützen.

Werden Kundendaten getrennt?

Die Daten jedes Kunden sind mit einer „Container-ID“ gekennzeichnet, die einem bestimmten Kundenabonnement entspricht. Diese Container-ID stellt sicher, dass der Zugriff auf die Daten eines Kunden nur auf diesen Kunden beschränkt ist.

Welche Sicherheitskontrollen schützen Tenable.io?

  • Schwachstellen-Scans werden täglich von Tenable durchgeführt.
  • Firewalls und Netzwerksegmentierung steuern den Zugriff.
  • Automatisierte Tools und Prozesse überwachen die Tenable.io-Plattform auf Verfügbarkeit, Leistung und anomales Verhalten.
  • Die Protokolle werden die ganze Zeit automatisiert überwacht, und Tenable-Mitarbeiter stehen jederzeit zur Verfügung, um auf Ereignisse zu reagieren.

Wie sind Tenable.io Sensoren gesichert?

Die Sensoren, die mit der Plattform verbunden sind, spielen eine wichtige Rolle für die Sicherheit eines Kunden und erfassen Informationen zu Schwachstellen- und Assets. Der Schutz dieser Daten und die Sicherstellung der Kommunikationswege ist eine Kernfunktion von Tenable.io. Tenable.io unterstützt aktuell mehrere Sensoren: Nessus Schwachstellen-Scanner, Passive Scanner und Nessus Agenten.

Diese Sensoren verbinden sich mit der Tenable.io-Plattform nach einer kryptographischen Authentifizierung und Verlinkung mit Tenable.io. Einmal verlinkt, verwaltet Tenable.io alle Updates (Plugins, Code usw.), um sicherzustellen, dass die Sensoren immer auf dem neuesten Stand sind.

Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Scanner-zu-Plattform-Authentifizierung
    • Die Plattform generiert einen zufälligen 256-Bit-Schlüssel für jeden an den Container angeschlossenen Scanner und übergibt diesen während des Verknüpfungsprozesses an den Scanner
    • Scanner verwenden diesen Schlüssel, um sich beim Anfordern von Aufträgen, Plugin-Updates und Updates der Scanner-Binärdatei bei der Steuerung zu authentifizieren
  • Scanner-zu-Plattform Jobkommunikation
    • Alle 30 Sekunden kontaktieren die Scanner die Plattform
    • Wenn es einen Job gibt, generiert die Plattform einen zufälligen 128-Bit-Schlüssel
    • Der Scanner fordert die Richtlinie von der Plattform an
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln, die die Anmeldeinformationen enthält, die während des Scans verwendet werden sollen

Wie wird die Verfügbarkeit von Tenable.io verwaltet?

Die Tenable.io-Services streben eine Verfügbarkeit von 99,95 % oder besser an. Bei den meisten Services wird eine Verfügbarkeit von 100 % erreicht.Tenable hat ein SLA veröffentlicht, das unsere Verpflichtung beschreibt, sicherzustellen, dass die Plattform allen Benutzern zur Verfügung steht und wie wir Kunden im Falle eines ungeplanten Ausfalls eine entsprechende Gutschrift erteilen.

Der Verfügbarkeitsstatus wird allein durch öffentliche Verfügbarkeitstests ermittelt, die von einer dritten Partei durchgeführt werden, die regelmäßig die Verfügbarkeit aller Services prüft. Die Verfügbarkeit der Services (aktuell und historisch) finden Sie unter http://uptime.tenable.com/ Dieser Link bietet auch die prozentuale Angabe der Verfügbarkeit auf Tages-, Monats-, Quartals- und Jahresbasis.

Tenable.io nutzt die AWS-Plattform und andere führende Technologien, um sicherzustellen, dass unsere Kunden den bestmöglichen Service und die bestmögliche Qualität erhalten. Nachfolgend finden Sie eine unvollständige Auflistung der Lösungen die wir zum Nutzen unserer Kunden einsetzen:

  • ElasticSearch Cluster – Elasticsearch Cluster sind hochverfügbar und können nach dem Verlust von Masterknoten, LB-Knoten und mindestens einem Datenknoten wiederhergestellt werden, ohne die Serviceverfügbarkeit zu beeinträchtigen.
  • Elastic Block Stores – zur Aufnahme von täglichen Schnappschüssen und zur Speicherung von bis zu acht (8) Kopien
  • Kafka-Ökosystem – Kafka und Zookeeper replizieren Daten im gesamten Cluster, um bei einem katastrophalen Ausfall eines Knotens Fehlertoleranz zu gewährleisten.
  • Postgres Instances – Verwaltung des Backend-Microservice-Frameworks zur Aufbewahrung von Schnappschüssen für bis zu 30 Tage

Wo werden die Daten repliziert?

Die replizierten Daten werden in der gleichen Region gespeichert.

Welche Möglichkeiten zur Systemwiederherstellung gibt es?

Katastrophen sind Ereignisse, die in einer oder mehreren Regionen zum unwiederbringlichen Verlust von Daten oder Geräten führen.

Verfahren zur Systemwiederherstellung von Tenable.io haben mehrere Ebenen und sind darauf ausgelegt, auf Situationen zu reagieren, die zwischen einmal in fünf Jahren und einmal in 50 Jahren auftreten können. Je nach Umfang der Katastrophe variieren die Wiederherstellungsverfahren zwischen 60 Minuten und 24 Stunden.

Wer kann auf Kundendaten zugreifen?

Die Kunden kontrollieren, wer Zugriff auf ihre Daten hat, einschließlich der Zuweisung von Rollen und Berechtigungen an ihre Mitarbeiter und der vorübergehenden Gewährung von Zugriff durch einen Supportmitarbeiter von Tenable.

Wie werden Benutzerrollen und Berechtigungen verwaltet?

Administratoren von Tenable.io-Kunden können Benutzerrollen (Basis, Standard, Administrator und deaktiviert) zuweisen, um den Zugriff auf Scans, Richtlinien, Scanner, Agenten und Asset-Listen zu verwalten.

Können Mitarbeiter von Tenable auf Kundendaten zugreifen?

Ja. Mit der Erlaubnis des Kunden können sich Stufe 3-Mitarbeiter des globalen Supports von Tenable als Benutzer-Accounts ausgeben, was es ihnen ermöglicht, Operationen in Tenable.io als ein anderer Benutzer durchzuführen, ohne das Passwort dieses Benutzers zu erhalten. Die Aktivierung der Funktion kann von einem Supportmitarbeiter von Tenable oder vom Kunden beantragt werden. Der Kunde muss die Imitation durch eine Mitteilung in einem aktiven Supportfall genehmigen. Für jedes mit Support protokollierte Problem muss eine Genehmigung erteilt werden. Die Ausstellung einer pauschalen Genehmigung, um Imitationen jederzeit durchzuführen, ist bei Tenable nicht möglich. Die Imitation eines Benutzers kann dazu führen, dass Daten den primären Speicherort verlassen.

Alle Mitarbeiter von Tenable.io sind verpflichtet, eine externe Hintergrundprüfung zu bestehen. Darüber hinaus verfügen alle Mitglieder des Senior-Teams über mindestens fünf Jahre Erfahrung bei SaaS-basierten Sicherheitssoftware-Unternehmen und viele von ihnen verfügen über Sicherheitszertifikate wie etwa CISSP.

Tenable hat einen definierten Einstellungs- und Kündigungsprozess. Alle Mitarbeiter sind verpflichtet, im Rahmen ihrer Einstellung Geheimhaltungsvereinbarungen zu unterzeichnen, und alle Konten und Zugriffsschlüssel werden bei Kündigung sofort entzogen.

Wer kann die Imitationsfunktion nutzen?

Die Imitationsfunktion darf nur von Tenable-Mitarbeitern der Stufe 3 genutzt werden.

Wird die Imitationsfunktion protokolliert?

Ja.

Verlassen die Daten das Land, wenn Tenable ein technisches Problem behebt?

Tenable unternimmt alle Anstrengungen, um sicherzustellen, dass Kundendaten geschützt sind, und wir stellen sicher, dass die Richtlinien der Kunden eingehalten werden, indem wir mit ihnen zusammenarbeiten, und so sicherstellen, dass die Daten in der gewünschten Region bleiben. Jedoch kann es vorkommen, dass Kunden einen Bericht per E-Mail an Tenable senden oder anderweitig ihre eigenen Richtlinien verletzen, indem sie E-Mails außerhalb ihrer Region versenden.

Haben die Mitarbeiter von Tenable Zugriff auf das interne Netzwerk eines Kunden?

Nein. Der gesamte Datenverkehr wird vom Scanner initiiert und ist nur nach außen gerichtet. Die Scanner werden hinter der Firewall des Kunden installiert und diese können den Zugriff der Scanner über ihre Firewall steuern.

Wie lang werden Kundendaten innerhalb von Tenable.io aufbewahrt?

Die Aufbewahrungsfristen sind so gestaltet, dass sie verschiedenen Kunden- und gesetzlichen Anforderungen gerecht werden.

Wie lange bleiben die Daten von aktiven Scans erhalten?

Die Fähigkeit, den Fortschritt über die Zeit zu messen, ist eine Kernfunktion der Tenable.io-Plattform. Tenable.io speichert Kundendaten automatisch für einen Zeitraum von 15 Monaten und ermöglicht es den Kunden somit eine Berichterstellung über einen Zeitraum von einem Jahr.

Wenn Kunden Daten für einen Zeitraum von mehr als 15 Monaten benötigen, bietet Tenable.io verschiedene Methoden zum Herunterladen von Kundendaten an, die der Kunde dann beliebig speichern kann.

Wie lange werden die Daten gespeichert, wenn ein Kunde den Service von Tenable.io beendet?

Sollte das Konto eines Kunden enden oder gekündigt werden, behält Tenable die Daten, so, wie sie zum Zeitpunkt des Ablaufs waren und nicht länger als 180 Tage. Nach Ablauf dieser Zeit können diese Daten gelöscht und nicht mehr wiederhergestellt werden.

Wie lange werden PCI-bezogene Daten aufbewahrt?

Daten, die an einem PCI-Compliance-Validierungsprozess beteiligt sind, werden gemäß den PCI-Vorschriften frühestens drei Jahre nach dem Datum der PCI-Bescheinigung gelöscht.Tenable bewahrt diese Daten für diesen Zeitraum auf, auch wenn der Kunde seine Scans oder sein Konto löscht oder den Tenable.io-Service aufkündigt.

Wie lange werden die Nutzungsdaten von Tenable.io gespeichert?

Um das bestmögliche Erlebnis zu gewährleisten, erfassen wir diese Informationen, solange ein Kundencontainer aktiv bleibt. Sobald ein Kunde den Service einstellt, werden die Daten für maximal 180 weitere Tage gespeichert.

Hat Tenable.io eine Common Criteria-Zertifizierung?

Die Common Criteria-Zertifizierung wird in der Regel nicht auf eine SaaS-Lösung angewendet, da sich die Häufigkeit der Updates nicht für einen Zertifizierungsprozess eignet, der 6 - 9 Monate dauert.

Kann ein Kunde das Land wählen, in dem die Daten gespeichert werden?

In Ausnahmefällen, wenn ein Kunde vor der Bereitstellung einen bestimmten geografischen Standort wünscht, aktiviert Tenable den Kunden an diesem Standort. Aktuelle Standorte sind:

  • Osten der USA
  • Westen der USA
  • U.S Central
  • London
  • Frankfurt
  • Sydney
  • Singapur

Werden die Daten an mehreren Orten innerhalb eines Landes gespeichert?

Nein. Tenable führt derzeit keine Datenreplikation von einem Ort zu einem anderen Ort durch.

PCI ASV

Was ist PCI-ASV?

PCI-ASV bezieht sich auf die Anforderung 11.2.2 der Payment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Procedures, das vierteljährliche externe Schwachstellenüberprüfungen erfordert, die von einem zugelassenen Scanning-Anbieter (ASV) durchgeführt (oder bescheinigt) werden müssen. Ein ASV ist ein Unternehmen, das über eine Reihe von Diensten und Tools („ASV Scanning Solution“) verfügt, um die Einhaltung der externen Scan-Anforderungen gemäß PCI DSS-Anforderung 11.2.2 zu überprüfen.

Welche Systeme sind für ASV-Scans geeignet?

Der PCI DSS erfordert eine Schwachstellenüberprüfung aller extern zugänglichen (internetfähigen) Systemkomponenten der zu überprüfenden Kunden, die Teil der Karteninhaberdatenumgebung sind, sowie aller extern zugewandten Systemkomponenten, die einen Pfad zur Karteninhaberdatenumgebung bereitstellen.

Was ist das ASV-Verfahren?

Die Hauptphasen einer ASV-Überprüfung bestehen aus:

  • Scoping: Wird vom Kunden durchgeführt, um alle internetfähigen Systemkomponenten, die Teil der Datenumgebung des Karteninhabers sind, einzubinden.
  • Scannen: Verwendung der Tenable.io-Vorlage „PCI Quarterly External Scan“
  • Berichterstattung/Abhilfe: Ergebnisse aus Zwischenberichten werden korrigiert.
  • Streitbeilegung: Kunde und ASV arbeiten zusammen, um strittige Prüfergebnisse zu dokumentieren und zu beheben.
  • Nochmalige Überprüfung (bei Bedarf): Bis ein Durchlaufscan erzeugt wird, der Streitigkeiten und Ausnahmen gelöst hat.
  • Abschließende Berichterstattung: Eingereicht und zugestellt auf sichere Art und Weise.

Wie häufig sind ASV-Scans erforderlich?

ASV-Schwachstellenscans sind mindestens vierteljährlich und nach jeder wesentlichen Änderung im Netzwerk erforderlich, wie z. B. nach Installationen neuer Systemkomponenten, Änderungen in der Netzwerktopologie, Änderungen der Firewall-Regeln oder nach Produkt-Upgrades.

Wie unterscheidet sich ein zugelassener Scanning-Anbieter (ASV) von einem qualifizierten Sicherheitsgutachter (QSA)?

Ein ASV führt speziell nur die in PCI DSS 11.2 beschriebenen externen Schwachstellenscans durch. Als QSA bezeichnet man ein Gutachterunternehmen, das vom PCI Security Standards Council (SSC) qualifiziert und geschult wurde, um allgemeine PCI DSS Prüfungen vor Ort durchzuführen.


Tenable.IO PCI-ASV Lösungsmöglichkeiten

Ist Tenable ein zertifizierter PCI-ASV?

Ja. Tenable ist als zugelassener Scan-Anbieter (ASV) dafür qualifiziert, externe Schwachstellen-Scans von mit dem Internet verbundenen Umgebungen (die zur Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten verwendet werden) von Händlern und Dienstleistern zu validieren. Der ASV-Qualifizierungsprozess besteht aus drei Teilen: Der erste Teil beinhaltet die Qualifizierung von Tenable Network Security als Anbieter. Der zweite Teil betrifft die Qualifizierung von Tenable-Mitarbeitern, die für die Remote-PCI-Scandienste zuständig sind. Der dritte Teil besteht aus dem Sicherheitstest der Remote-Scanning-Lösung von Tenable (Tenable.io und Tenable.io PCI ASV).

Führt Tenable als zugelassener Scanning-Anbieter (ASV) die Scans tatsächlich durch?

ASVs können die Überprüfungen durchführen. Tenable ist jedoch darauf angewiesen, dass Kunden ihre eigenen Scans mit der Vorlage „PCI Quarterly External Scan“ durchführen. Diese Vorlage verhindert, dass Kunden Konfigurationseinstellungen ändern, z. B. Prüfungen auf Schwachstellen deaktivieren, Schweregrade zuweisen, Scan-Parameter ändern usw. Kunden nutzen cloudbasierte Scanner von Tenable.io, um ihre mit dem Internet verbundenen Umgebungen zu scannen und dann konforme Scan-Berichte zur Bescheinigung an Tenable zu senden. Tenable bescheinigt die Scan-Berichte, und der Kunde übergibt sie dann an seine Auftraggeber oder Zahlungsdienstleister gemäß den Vorgaben der Zahlungsdienstleister.

Wie unterscheidet sich das neue Produkt von dem bestehenden Produkt?

Zu den neuen oder verbesserten Funktionen gehören:

  • Eine einzige Benutzeroberfläche zum Scannen, Verwalten, Einreichen und Vervollständigen des ASV-Bescheinigungsprozesses.
  • Möglichkeit für mehr als eine Person, Streitigkeiten einzureichen und sie für die ASV-Zertifizierung zu senden.
  • Möglichkeit, die gleichen Streitigkeiten/Ausnahmen auf mehrere IPs anzuwenden. (Fähigkeit, Streitigkeiten auf Basis von Plugins statt nach Assets zu erstellen)
  • Möglichkeit, eine IP als außerhalb des Geltungsbereichs zu markieren
  • Möglichkeit der Kommentierung von Kompensationssteuerungen

Datenhoheit

Entspricht Tenable.io PCI-ASV den Anforderungen der EU an die Datenhoheit?

Schwachstellen-Daten sind keine EU DPD 95/46/EC-Daten, so dass die Anforderungen an den Datenaufbewahrungsort vom Kunden und nicht vom Gesetzgeber bestimmt werden. Staatliche EU-Organisationen könnten ihre eigenen Anforderungen an die Datenaufbewahrung haben, aber diese müssten von Fall zu Fall geprüft werden und sind wahrscheinlich kein Problem für PCI-ASV-Scans.


Tenable.io ASV Preise/Lizenz/Bestellung

Beinhaltet Tenable.io PCI ASV-Lizenzen?

Ja, Tenable.io beinhaltet eine PCI ASV-Lizenz für ein einzelnes, eindeutiges PCI-Asset. Einige Unternehmen haben große Anstrengungen unternommen, um die Assets für PCI einzuschränken, oftmals durch Auslagerung von Zahlungsverarbeitungsfunktionen. Da diese Kunden als „nicht im PCI-Business tätig“ eingeordnet werden können, hat Tenable den Kauf und die Lizenzierung für sie vereinfacht. Ein Kunde kann sein Asset alle 90 Tage ändern.

Wie ist Tenable.io PCI-ASV lizenziert?

Für Kunden mit mehr als einem einzelnen PCI-Asset wird die Tenable.io PCI ASV-Lösung als Add-on zu Tenable.io-Subscriptions lizenziert.

Warum wird Tenable.io PCI-ASV nicht nach der Anzahl der internetfähigen PCI-Assets eines Kunden lizenziert?

Die Anzahl der internetfähigen Hosts, die sich innerhalb der Karteninhaberdatenumgebung (CDE) eines Unternehmens befinden oder einen Pfad zu dieser bereitstellen, kann sich häufig ändern, wodurch die Lizenzierung komplexer wird. Tenable hat sich für einen einfacheren Lizenzierungsansatz entschieden.

Wie viele Bescheinigungen darf ein Kunde pro Quartal abgeben?

Kunden können eine unbegrenzte Anzahl von vierteljährlichen Bescheinigungen einreichen.

Sind Test-/Bewertungskunden berechtigt, Tenable.io PCI-ASV zu bewerten?

Ja. Testkunden können die Vorlage PCI vierteljährlicher externer Scan verwenden, um Assets zu scannen, Ergebnisse zu überprüfen und Streitigkeiten zu erstellen. Sie können jedoch keine Scanberichte zur Bescheinigung einreichen.

Wie können bestehende Kunden von Tenable.io auf die neue Funktionalität umstellen?

Die neue Funktion wird am 24. Juli 2017 automatisch aktiviert, so dass Kunden sie für ihren nächsten PCI-ASV-Scan nutzen können. Für bestehende Kunden ist es nicht erforderlich, die neue PCI-ASV-Fähigkeit für mindestens ein Jahr zu lizenzieren.

Wie können Tenable.sc-Kunden, welche die aktuelle PCI-ASV-Funktionalität lizenziert haben, auf die neue Funktionalität umstellen?

Tenable.sc-Kunden, bei denen External/PCI Scanning bereits lizenziert ist, können Tenable.io PCI ASV nutzen, sobald es verfügbar ist. Zum Verlängerungstermin können diese Kunden ihre Lizenz einfach unter Verwendung ihrer bestehenden SKUs verlängern. Es könnte für sie jedoch von Vorteil sein, stattdessen Tenable.io PCI-ASV zu lizenzieren.

Kostenlos testen Jetzt kaufen

Testen Sie Tenable.io

60 TAGE KOSTENLOS

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Melden Sie sich jetzt an.

Tenable.io kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

$2,275.00

Jetzt kaufen

Kostenlos testen Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen

Kostenlos testen Jetzt kaufen

Tenable.io Web Application Scanning testen

60 TAGE KOSTENLOS

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

$3,578.00

Jetzt kaufen

Kostenlos testen Vertrieb kontaktieren

Tenable.io Container Security testen

60 TAGE KOSTENLOS

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Erfahren Sie mehr über Industrial Security

Demo für Tenable.sc anfordern

Bitte tragen Sie Ihre Kontaktdaten in das Formular unten ein. Ein Vertriebsmitarbeiter wird Sie in Kürze kontaktieren, um einen Termin für die Demo zu vereinbaren.Sie können auch einen kurzen Kommentar mitschicken (begrenzt auf 255 Zeichen). Bitte beachten Sie, dass Felder mit einem Sternchen (*) Pflichtfelder sind.