Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

FAQ zu Tenable Vulnerability Management

Testen Sie Tenable Vulnerability Management

Führen Sie Ihren ersten Scan in weniger als 60 Sekunden durch.

Jetzt testen

Allgemeine Fragen

Was ist Tenable Vulnerability Management

Vulnerability Management ist eine risikobasierte Schwachstellen-Management-Lösung, die Ihnen vollen Einblick in Ihr Netzwerk bietet, damit Sie Angriffe vorhersagen und schnell auf kritische Schwachstellen reagieren können. Durch kontinuierliche Erfassung und Bewertung nach dem „Always on“-Prinzip erhalten Sie den nötigen Einblick, um alle Assets in Ihrem Netzwerk sowie deren verborgene Schwachstellen zu finden. Integrierte Funktionen für Priorisierung, Threat-Intelligence und Echtzeit-Reporting helfen Ihnen dabei, Ihr Risiko einzuschätzen und Angriffspfade proaktiv zu versperren. Die Lösung basiert auf der führenden Tenable Nessus-Technologie und wird in der Cloud verwaltet. Sie profitieren von vollständiger Sichtbarkeit der Assets und Schwachstellen in Ihrem Netzwerk, sodass Sie Ihr Risiko schnell und präzise einschätzen können und wissen, welche Schwachstellen zuerst behoben werden müssen.

Tenable Vulnerability Management ist ein integraler Bestandteil von Tenable One, der Exposure Management-Plattform von Tenable. Tenable One baut auf Tenable Vulnerability Management auf und bietet umsetzbare Erkenntnisse zu den Sicherheitsrisiken in Ihrer gesamten Infrastruktur - einschließlich Cloud-Instanzen, Webanwendungen, Active Directory und mehr, bis hin zu hoch dynamischen Assets wie Mobilgeräten, virtuellen Maschinen und Containern. Um das Management von Cyberrisiken noch weiter zu verbessern, erhalten Sie zusätzliche Metriken und Funktionen für die Priorisierung, wie etwa Visualisierungen der Angriffsoberfläche, Bewertungen der Asset-Kritikalität, risikobasiertes Exposure-Scoring und Peer-Benchmarking sowie die Möglichkeit, die Risikoreduzierung im Zeitverlauf zu verfolgen.

Wie kann ich mehr über Tenable Vulnerability Management erfahren?

Um mehr über Tenable Vulnerability Management zu erfahren, besuchen Sie die Produktseite von Tenable Vulnerability Management, nehmen Sie an einem der nächsten Webinare teil oder kontaktieren Sie Ihren zertifizierten Tenable-Partner oder Ihren Tenable-Vertriebsmitarbeiter um weitere Informationen zu erhalten.

Wie kann ich Tenable Vulnerability Management-Anwendungen evaluieren?

Bitte registrieren Sie sich für einen kostenlosen Test von Tenable Vulnerability Management unter https://www.tenable.com/try.

Wie kann ich Tenable Vulnerability Management-Anwendungen erwerben?

Sie können Tenable Vulnerability Management-Arbeit erwerben, indem Sie mit Ihrem zertifizierten Tenable-Partner zusammenarbeiten, Ihren zuständigen Tenable-Vertriebsmitarbeiter kontaktieren oder tenable.com besuchen.

Kann ich Tenable-Applikationen einzeln lizenzieren lassen?

Ja, Tenable-Anwendungen können einzeln lizenziert werden. Beispielsweise kann Tenable Web App Scanning eigenständig lizenziert werden, ohne die Schwachstellen-Management-Funktionen von Tenable Vulnerability Management.

Wie erfolgt die Preiskalkulation und Lizenzierung für Tenable Vulnerability Management?

Tenable Vulnerability Managemen wird im Rahmen eines Jahresabonnements lizenziert. Die Preisermittlung erfolgt nach Assets und nicht nach IP-Adressen. So können Kunden neue Technologien wie Cloud-Anwendungen ohne Angst vor Doppelzählungen nutzen.

Weitere Informationen zu Preisen und Lizenzen finden Sie im nachfolgenden Abschnitt.

Was ist ein Asset?

Ein Asset ist:

  • Ein mit einem Netzwerk verbundenes physisches oder virtuelles Gerät mit einem Betriebssystem
  • Eine Webanwendung mit einem FQDN
  • Eine aktive (nicht außer Betrieb genommene) Cloud-Ressource

Dazu gehören beispielsweise Desktops, Laptops, Server, Speichergeräte, Netzwerkgeräte, Telefone, Tablets, virtuelle Maschinen, Cloud-Instanzen und Container.

Wie erfolgt die Preiskalkulation und Lizenzierung für andere Anwendungen von Tenable Vulnerability Management?

Tenable Web App Scanning wird im Rahmen eines Jahresabonnements lizenziert, wobei sich der Preis nach der Anzahl der Assets richtet. Tenable Web App Scanning wird nach der Gesamtzahl der vollständig qualifizierten Domainnamen (FQDN) berechnet, die vom Produkt bewertet werden.

Weitere Informationen zu Preisen und Lizenzen finden Sie im nachfolgenden Abschnitt.

Bietet Tenable eine Service Level-Vereinbarung (Service Level Agreement, SLA) für Tenable Vulnerability Management an?

Ja. Mit einer robusten Service-Level-Vereinbarung (SLA) für Tenable Vulnerability Management bietet Tenable die erste Verfügbarkeitsgarantie der Branche für Schwachstellen-Management. Sollte die SLA nicht eingehalten werden, erhält der Kunde eine entsprechende Servicegutschrift, genau wie bei führenden Cloud-Anbietern wie Amazon Web Services. (AWS)

Wo finde ich Dokumentation zu Tenable Vulnerability Management?

Die technische Dokumentation für alle Tenable-Produkte, einschließlich Tenable Vulnerability Management, finden Sie unter https://docs.tenable.com.

Welche IPs verwendet Tenable für das Scannen aus der Cloud?

Tenable Vulnerability Management ist standardmäßig mit regionsspezifischen Cloud-Scannern konfiguriert. Weitere Informationen finden Sie in unserer Dokumentation.

Kann ich sowohl Tenable Security Center als auch Tenable Vulnerability Management verwenden?

Ja, Sie können beide Lösungen nutzen. Kunden können sich für eine hybride Schwachstellen-Management-Implementierung entscheiden, indem sie sowohl Tenable Security Center als auch Tenable Vulnerability Management nutzen. Kunden, die an Tenable Vulnerability Management PCI/ASV oder anderen Tenable Vulnerability Management-Anwendungen interessiert sind, können außerdem eine hybride Bereitstellung zusammen mit ihrer Tenable Security Center-Instanz wählen.

Kann ich von Tenable Security Center auf Tenable Vulnerability Management migrieren?

Ja. Für interessierte Kunden gibt es eine Reihe von Möglichkeiten, von Tenable Security Center zu Tenable Vulnerability Management zu migrieren, mit voller Unterstützung von Tenable oder einem zertifizierten Partner. Für weitere Informationen wenden Sie sich bitte an Ihren zertifizierten Tenable-Partner oder Tenable-Vertriebsmitarbeiter.

Was ist External Attack Surface Management (EASM)?

External Attack Surface Management (EASM) ist eine von Tenable angebotene Funktion, die einen Einblick in blinde Flecken außerhalb Ihres Netzwerks ermöglicht. Damit können Sie Ihre Domain scannen, um bisher unbekannte mit dem Internet verbundene Assets zu finden, die ein hohes Risiko für Ihr Unternehmen darstellen können.

Ist External Attack Surface Management (EASM) in Tenable Vulnerability Management enthalten?

Ja, Tenable Vulnerability Management bietet Funktionen für External Attack Surface Management (EASM). Wenn Sie zusätzliche Domänen oder, und/oder Metadaten in Ihren Ergebnissen oder eine höhere Scanhäufigkeit benötigen, können Sie unsere Add-ons für Tenable Attack Surface Management erwerben.

Was ist Tenable Web App Scanning?

Tenable Web App Scanning ist eine Anwendung für dynamische Tests der Applikationssicherheit (Dynamic Application Security Testing, DAST). Im Rahmen von DAST wird eine laufende Webapplikation per Crawling über das Front-End durchsucht, mit dem Ziel, eine Sitemap mit allen zu testenden Seiten, Links und Formularen zu erstellen. Sobald die Sitemap erstellt wurde, wird die Website über das Front-End abgefragt, damit sämtliche Schwachstellen im spezifischen Anwendungscode bzw. bekannte Schwachstellen in den Drittanbieter-Komponenten, die den Großteil der Applikation ausmachen, identifiziert werden.

Wo kann ich mehr über Tenable Web App Scanning erfahren oder es testen?

Weitere Informationen über Tenable Web App Scanning inden Sie auf der Produktseite für Tenable Web App Scanning. Bitte registrieren Sie sich für einen kostenlosen Test unter tenable.com/try-was oder kontaktieren Sie Ihren zertifizierten Tenable-Partner oder den für Sie zuständigen Tenable-Vertriebsmitarbeiter, um weitere Informationen zu erhalten.

Scannt das Produkt den Quellcode oder führt es statische Analysen durch?

Nr. Tenable Web App Scanning ist eine Lösung für dynamische Tests zur Anwendungssicherheit (DAST, Dynamic Application Security Testing), die eine Web-Anwendung „von außen“ testet, wenn die Anwendung in einer Test- oder Produktionsumgebung läuft.

Fragen zu Elastic Asset-Lizenzierung

Elastic Asset Licensing, das in Tenable Vulnerability Management integriert ist, ist eine Innovation, die die Schwachstellen-Management-Lizenzierung auf die heutigen elastischen IT-Umgebungen abstimmt. Die Elastic Asset-Lizenzierung vermeidet Doppelzählungen von Assets mit mehreren und/oder wechselnden IP-Adressen. Außerdem werden automatisch Lizenzen von Assets zurückgefordert, die nicht kürzlich gescannt wurden, einschließlich nicht mehr in Verwendung befindlicher Assets und Assets, die versehentlich gescannt wurden.

Was ist Tenable Vulnerability Management Elastic Asset Licensing?

Die wichtigsten Vorteile von Elastic Asset Licensing:

  • Kunden kaufen die richtige Anzahl an Lizenzen, basierend auf der Anzahl der Assets und nicht auf der aufgeblasenen Anzahl der IPs.
  • Kunden vermeiden zeitaufwändige und oft ungenaue Projekte, die für die Rückforderung von Lizenzen aus stillgelegten und/oder versehentlich gescannten Assets erforderlich sind.
  • Metriken des Schwachstellenmanagements werden nicht durch doppelte oder dreifache Zählung von Schwachstellen für Assets mit mehreren IP-Adressen verfälscht.

Was sind die Vorteile einer Elastic Asset-Lizensierung?

Die wichtigsten Vorteile von Elastic Asset Licensing:

  • Kunden kaufen die richtige Anzahl an Lizenzen, basierend auf der Anzahl der Assets und nicht auf der aufgeblasenen Anzahl der IPs.
  • Kunden vermeiden zeitaufwändige und oft ungenaue Projekte, die für die Rückforderung von Lizenzen aus stillgelegten und/oder versehentlich gescannten Assets erforderlich sind.
  • Metriken des Schwachstellenmanagements werden nicht durch doppelte oder dreifache Zählung von Schwachstellen für Assets mit mehreren IP-Adressen verfälscht.

Können Kunden von Tenable Vulnerability Management mehr Assets scannen als lizenziert sind?

Ja, vorübergehend können Kunden die lizenzierte Anzahl von Assets überschreiten. Wenn die Anzahl der Lizenzen längerfristig überschritten wird, müssen Kunden diese selbstverständlich anpassen.

Wie können Kunden von Tenable Vulnerability Management den Lizenzstatus feststellen?

Die Benutzeroberfläche von Tenable Vulnerability Management zeigt sowohl die Anzahl der lizenzierten Assets als auch die tatsächliche Lizenznutzung an.

Was ist ein Asset?

Ein Asset ist eine Einheit, die analysiert werden kann. Dazu gehören beispielsweise Desktops, Laptops, Server, Speichergeräte, Netzwerkgeräte, Telefone, Tablets, virtuelle Maschinen, Hypervisoren und Container.

Wie identifiziert Tenable Vulnerability Management ein Asset?

Wenn Tenable Vulnerability Management zum ersten Mal ein Asset identifiziert, sammelt es mehrere Identifikationsattribute, darunter eine BIOS-UUID, die MAC-Adresse des Systems, den NetBIOS-Namen, FQDN und/oder andere Attribute, die zur zuverlässigen Identifizierung eines Assets verwendet werden können. Zusätzlich weisen authentifizierte Scan- und Nessus-Agenten dem Gerät eine Tenable UUID zu. Wenn Tenable Vulnerability Management nachfolgende Assets scannt, vergleicht es diese mit zuvor erkannten Assets. Wenn das neu erkannte Asset nicht mit einem zuvor erfassten Asset übereinstimmt, wird das Asset zum Asset-Bestand von Tenable Vulnerability Management hinzugefügt.

Was ist der Unterschied zwischen Assets und IPs?

IPs sind in der Regel eine Eigenschaft eines Assets, und viele Assets haben mehrere IPs zugewiesen (z.B. DHCP-Geräte, Systeme mit drahtgebundenen und drahtlosen Schnittstellen usw.).

Warum ist die Anzahl der Assets wahrscheinlich niedriger als die Anzahl der IPs?

Häufig verfügen Anlagen über mehrere Netzwerkschnittstellenkarten, so dass auf sie von mehreren Netzwerken zugegriffen werden kann. Zum Beispiel kann ein Webserver gleichzeitig in einem Produktionsnetzwerk und einem administrativen Netzwerk gewesen sein oder ein Laptop kann oft sowohl über eine drahtgebundene als auch eine drahtlose Netzwerkschnittstelle verfügen. Außerdem erhalten Laptops oft neue IPs, wenn sie von einem Standort zum anderen wechseln. Werden sie einmal mit einer IP und dann mit einer anderen IP gescannt, werden sie doppelt gezählt.

Wie können Interessenten die Anzahl ihrer Assets schätzen?

Tenable Vulnerability Management unterstützt unbegrenzte Scans mit aktiven und passiven Sensoren. Mithilfe dieser Scans kann der Kunde alle seine Assets umfassend inventarisieren und die passende Lizenzgröße bestimmen.

Wie wird verhindert, dass dasselbe Asset mehrfach gezählt wird?

Tenable Vulnerability Management unterstützt eine Vielzahl von Methoden, um Doppel- oder Dreifachzählungen desselben Assets bei der Berechnung der entsprechenden Lizenzgröße zu vermeiden. Bei traditionellen Assets verwendet Tenable Vulnerability Management einen proprietären Algorithmus, der neu erkannte Assets mit bereits erkannten Assets abgleicht, um Duplikate zu eliminieren und eine genauere Schwachstellenberichterstattung zu ermöglichen.

Fragen zu Datensicherheit und Datenschutz

Der Schutz der Kundendaten und der Datenschutz haben bei Tenable oberste Priorität. Tausende von Kunden, darunter Finanzdienstleister, Gesundheitsdienstleister, Einzelhändler, Bildungseinrichtungen und Behörden, vertrauen Tenable ihre Schwachstellen-Daten in unserer Cloud-Plattform an.

Datensicherheit und Datenschutz bedeuten, dass Kunden ausschließlich auf ihre eigenen Daten zugreifen dürfen und dass Nichtkunden, Hacker, bösartige Akteure oder nicht autorisierte Tenable-Vertreter nicht auf Kundendaten, die im Tenable Vulnerability Management -Service gespeichert sind, zugreifen und diese offenlegen, kopieren oder anderweitig verletzen können.

Darüber hinaus richtet Tenable seinen Fokus auf die Verfügbarkeit und Zuverlässigkeit des Tenable Vulnerability Management-Service, denn unzureichende Sicherheitskontrollen können Probleme verursachen, die zwar kein Risiko für Kundendaten darstellen, aber unter Umständen die Serviceverfügbarkeit beeinträchtigen. Tenable implementiert Maßnahmen und setzt diese entsprechend durch, um sicherzustellen, dass Tenable Vulnerability Management in hohem Maße verfügbar, vor Angriffen oder einfachen Fehlern und Ausfällen geschützt und für unsere Kunden jederzeit nutzbar ist.

Welche Kundendaten werden von Tenable Vulnerability Management verwaltet?

Letztlich dienen die von Tenable Vulnerability Management verwalteten Kundendaten nur einem einzigen Zweck: Kunden ein herausragendes Nutzungserlebnis bei der Verwaltung von Assets und Schwachstellen zur Absicherung ihrer Umgebungen zu bieten. Dazu verwaltet Tenable Vulnerability Management drei Kategorien von Kundendaten:

  1. Asset- und Schwachstellendaten
  2. Umgebungsspezifische Leistungsdaten
  3. Kundennutzungsdaten

Welche Asset- und Schwachstellendaten von Kunden werden von Tenable Vulnerability Management verwaltet?

Tenable Vulnerability Management inventarisiert Assets in den Netzwerken der Kunden und verwaltet Asset-Attribute wie IP-Adresse, MAC-Adresse, NetBIOS-Name, Betriebssystem und -version, aktive Ports und vieles mehr.

Tenable Vulnerability Management-Assetdaten
Beispiel für von Tenable Vulnerability Management verwaltete Assetdaten

Tenable Vulnerability Management sammelt detaillierte aktuelle und historische Schwachstellen- und Konfigurationsdaten, zu denen auch Kritikalität, Ausnutzbarkeit und Behebungsstatus sowie Netzwerkaktivitäten gehören können. Wenn Kunden die Daten von Tenable Vulnerability Management durch Integrationen in Produkte von Drittanbietern, wie z. B. Asset-Management-Systeme und Patch-Management-Systeme, erweitern, kann Tenable Vulnerability Management außerdem Daten von diesen Produkten verwalten.

Tenable Vulnerability Management-Schwachstellendaten
Beispiel für von Tenable Vulnerability Management verwaltete Schwachstellendaten

Analysiert oder nutzt Tenable Kundendaten?

Tenable anonymisiert und analysiert Kundendaten, um Branchentrends, Trends in Bezug auf Zunahme und Eindämmung von Schwachstellen sowie Trends bei Sicherheitsereignissen zu ermitteln. So bringt beispielsweise die Korrelation zwischen dem Vorhandensein einer Schwachstelle und deren Ausnutzung immense Vorteile für Tenable-Kunden mit sich. Zu den weiteren Vorteilen zählen hochentwickelte Analysen und eine verbesserte Korrelation von Kundendaten mit Branchen- und Sicherheitsereignissen sowie entsprechenden Trends. Die Erhebung und Analyse solcher Daten ermöglicht es den Kunden zudem, sich allgemein und innerhalb der Branche mit Mitbewerbern zu messen. Tenable bietet Kunden auf Wunsch eine Opt-out-Möglichkeit.

Welche Tenable Vulnerability Management-Zustands- und Statusdaten werden erfasst?

Um die Leistung und Verfügbarkeit von Tenable Vulnerability Management aufrechtzuerhalten und das bestmögliche Nutzungserlebnis zu bieten, sammelt Tenable Vulnerability Management kundenspezifische Informationen zu Anwendungsstatus und -integrität. Dies beinhaltet, wie oft der Scanner mit der Plattform kommuniziert, die Anzahl der gescannten Assets und Versionen der eingesetzten Software sowie andere allgemeine Telemetriedaten, um mögliche Probleme so schnell wie möglich zu erkennen und zu beheben.

Können sich Kunden gegen die Erhebung von Zustands- und Statusdaten entscheiden?

Tenable nutzt Zustands- und Statusdaten, um potenzielle Probleme rechtzeitig zu erkennen und zu beheben und so die SLA-Verpflichtungen zu erfüllen. Daher können sich Kunden nicht gegen diese Datenerhebung entscheiden.

Welche Daten zur Nutzung von Tenable Vulnerability Management werden erfasst?

Zur Auswertung und Verbesserung des Kundenerlebnisses erfasst Tenable anonymisierte Nutzungsdaten. Diese Daten umfassen Seitenzugriffe, Klicks und andere Benutzeraktivitäten, die dem Benutzer eine Stimme geben und so die Benutzererfahrung optimieren und verbessern.

Können sich Benutzer gegen die Erhebung von Nutzungsdaten entscheiden?

Ja. Ein Kunde kann verlangen, dass sein Container nicht länger an dem Sammelvorgang teilnimmt.

Wo werden die Kundendaten gespeichert?

Tenable nutzt die Rechenzentren und Dienste von Amazon Web Services (AWS), um Tenable Vulnerability Management für Kunden bereitzustellen und zugänglich zu machen. Standardmäßig wählt Tenable einen Kundencontainer in der Region, die am besten dafür geeignet ist, diesem Kunden das bestmögliche Erlebnis zu bieten. Aktuelle Standorte sind:

  • U.S. East
  • U.S West
  • U.S Central
  • London
  • Frankfurt
  • Sydney
  • Singapur
  • Kanada
  • Japan
  • Brasilien
  • Indien

In Ausnahmefällen, wenn ein Kunde vor der Bereitstellung eine bestimmte AWS-Region anfordert, aktiviert Tenable den Kunden in dieser Region.

Da alle Kundendaten in sicheren, regionalen AWS-Diensten gespeichert werden, gelten die Zertifizierungen für den EU-Datenschutz, die AWS besitzt, auch für die Tenable Cloud. Weitere Informationen finden Sie hier.

Wird Tenable Vulnerability Management in Zukunft weitere Länder unterstützen? Wenn ja, in welchem Zeitraum?

Ja. Der Zeitrahmen für weitere Standorte ist jedoch noch nicht festgelegt.

Können Daten in anderen AWS-Regionen als der ursprünglichen Region gespeichert werden?

Es gibt Situationen, in denen Daten in anderen Regionen als der ursprünglichen AWS-Region gespeichert werden können.

  • Tenable Vulnerability Management können in mehreren AWS-Regionen externe Scans über öffentliche, gemeinsam genutzte Scan-Pools durchführen. Die Wahl eines Scanners in der Nähe des Ziels führt in der Regel zu schnelleren Scans. Beachten Sie, dass, wenn ein Kunde einen Cloud-Scanner verwendet, dessen Lokalität sich von der des Hosting-Accounts unterscheidet, die Scandaten vorübergehend außerhalb der Hosting-Lokalität des Accounts bestehen, aber dort nicht gespeichert werden. Scannt beispielsweise ein Kunde mit einem Konto in der EU/Deutschland mit einem Scanner in den USA/North Virginia, werden die Scandaten vorübergehend durch die USA geleitet, bevor sie in Frankfurt gespeichert werden. Wenn der Standort der Daten ein Problem darstellt, sollten Kunden nur externe Scans mit Cloud-Scannern in ihrer Region durchführen. Dies kann leicht für jeden einzelnen Scan ausgewählt werden.
  • Wenn ein Kunde Tenable Security Center verwendet, werden seine Scandaten nicht in der Cloud gespeichert, selbst wenn er einen Teil seiner gesamten Infrastruktur mit Tenable Vulnerability Management scannt.
  • Tenable Nessus Agent-Daten werden in Tenable Vulnerability Management gespeichert, wenn Kunden Scans von Tenable Vulnerability Management aus durchführen. Wenn Kunden mit Nessus Manager Scans mit Agents durchführen, werden diese Daten nicht in Tenable Vulnerability Management gespeichert, unabhängig davon, wo die Agents eingesetzt werden.

Kann ein Kunde die Aufbewahrung von Daten an einem bestimmten Ort/Land erzwingen?

Ja. Die Daten werden in dem Land gespeichert, das bei Erstellung des Kontos ausgewählt wurde.

Wie werden Kundendaten innerhalb von Tenable Vulnerability Management geschützt?

Tenable wendet mehrere Sicherheitsmaßnahmen an, um die Datensicherheit und den Datenschutz von Tenable Vulnerability Management zu gewährleisten.

Wie funktioniert eine sichere Entwicklung bei Tenable?

Tenable folgt einer Reihe von Verfahren, um die Sicherheit der Tenable Vulnerability Management-Anwendungssoftware zu gewährleisten.

Die Tests werden von drei verschiedenen Gruppen innerhalb von Tenable durchgeführt:

  • Die Sicherheitstests werden vom Entwicklungsteam durchgeführt;
  • Das Tenable IT Security-Team führt Schwachstellentests mit Tenable Vulnerability Management sowohl vor als auch nach der Bereitstellung durch (Tests nach der Bereitstellung werden außerplanmäßig und ohne Vorwarnung für andere Teams durchgeführt); und
  • Tenable bietet eine zusätzliche Sicherheitsüberprüfung des Quellcodes und der Änderungen vor der Bereitstellung.

Die gesamte Softwarebereitstellung wird automatisiert und nur über das Build-System durchgeführt, das über firmeninterne LDAP-Zugangsdaten authentifiziert wird, oder über Ansible, das über private SSH-Schlüssel authentifiziert wird. Alle Einsätze werden protokolliert und verfolgt, und die Benachrichtigung über Einsätze (geplant oder ungeplant) wird automatisch an das Tenable-Entwicklungsteam gesendet.

Alle Änderungen am Quellcode werden verfolgt und mit dem Release verknüpft, in dem die Änderung installiert wird. Dieses Tracking stellt sicher, dass es eine vollständige Historie jeder Änderung gibt, wer sie vorgenommen hat, wann sie durchgeführt wurde und letztendlich, wann die Änderung in der Produktion eingesetzt wurde.

Jede Bereitstellung wird von mindestens zwei Tenable-Teammitgliedern genehmigt. Alle Änderungen und Bereitstellungen werden allen Teammitgliedern mitgeteilt. Die Software wird zunächst in Testumgebungen eingesetzt und dann über einen längeren Zeitraum an Produktionsinstanzen „ausgerollt“.

Welche Sicherheitsmaßnahmen für Kundenanwendungen gibt es?

  • Die Gewährleistung eines sicheren und autorisierten Zugriffs auf Tenable Vulnerability Management hat für unsere Entwicklungs- und Betriebsteams hohe Priorität. Tenable Vulnerability Management bietet eine Reihe von Mechanismen, um Kundendaten zu schützen und den Zugriff zu kontrollieren. Wir schützen vor Brute-Force-Angriffen, indem wir Konten nach fünf (5) fehlgeschlagenen Anmeldeversuchen sperren.
  • Zum Schutz vor dem Abfangen von Daten wird die gesamte Kommunikation zur Plattform über SSL (TLS-1.2) verschlüsselt. Außerdem werden ältere, unsichere SSL-Übertragungen abgelehnt, um so ein Höchstmaß an Schutz zu gewährleisten.
  • Um den Zugriff auf die Plattform zu schützen, können Kunden die Zwei-Faktor-Authentifizierung über Dienste von Twillo konfigurieren.
  • Kunden können Tenable Vulnerability Management in ihre SAML-Bereitstellung integrieren. Tenable Vulnerability Management unterstützt sowohl IdP- als auch SP-initiierte Anfragen. Außerdem können Benutzer ihr Passwort direkt in der Anwendung unter Verwendung ihrer E-Mail-Adresse zurücksetzen.
  • Oftmals bauen Kunden mithilfe unserer dokumentierten APIs oder SDKs Verbindungen zu Tenable Vulnerability Management auf. Der Zugriff kann durch die Erstellung spezifischer API-Schlüssel gewährt und kontrolliert werden. Die Verwendung unterschiedlicher Schlüssel für verschiedene Integrationen wird unterstützt, ohne dass Zugangsdaten von Benutzern geteilt werden müssen.

Wie werden Kundendaten geschützt?

Tenable wendet mehrere Sicherheitsmaßnahmen an, um die Datensicherheit und den Datenschutz von Tenable Vulnerability Management zu gewährleisten.

Wie werden die Daten verschlüsselt?

Auf der Tenable Vulnerability Management-Plattform werden sämtliche Daten in allen Zuständen mit mindestens einer Verschlüsselungsstufe verschlüsselt, wobei mindestens AES-256 verwendet wird.

Im Ruhezustand: Daten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Einige Datenklassen enthalten eine zweite Stufe der Verschlüsselung pro Datei.

Bei der Übertragung: Bei der Übertragung werden Daten mittels TLS v1.2 mit einem 4096-Bit-Schlüssel verschlüsselt (auch bei interner Übertragung).

Tenable Vulnerability Management-Sensorkommunikation: Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Authentifizierung zwischen Scanner und Plattform
    • Die Plattform generiert einen zufälligen 256-Bit-Schlüssel für jeden an den Container angeschlossenen Scanner und übergibt diesen während des Verknüpfungsprozesses an den Scanner
    • Scanner verwenden diesen Schlüssel, um sich beim Anfordern von Aufträgen, Plugin-Updates und Updates der Scanner-Binärdatei bei der Steuerung zu authentifizieren
  • Auftragskommunikation zwischen Scanner und Plattform
    • Alle 30 Sekunden kontaktieren die Scanner die Plattform
    • Wenn es einen Job gibt, generiert die Plattform einen zufälligen 128-Bit-Schlüssel
    • Der Scanner fordert die Richtlinie von der Plattform an
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln, die die Anmeldeinformationen enthält, die während des Scans verwendet werden sollen

In Backups/bei Replikation: Volume-Snapshots und Datenreplikate werden mit der gleichen Verschlüsselungsstufe wie ihre Quelle gespeichert, mindestens jedoch mit AES-256. Die gesamte Replikation erfolgt über den Provider. Tenable erstellt keine Backups von Daten auf physischen externen Medien oder physischen Systemen.

In Indizes: Indexdaten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Scan-Zugangsdaten: Diese Daten werden in einer Richtlinie gespeichert, die innerhalb des globalen AES-256-Schlüssels des Containers verschlüsselt wird. Wenn Scans gestartet werden, wird die Richtlinie mit einem zufälligen 128-Bit-Schlüssel verschlüsselt und mit TLS v1.2 mit einem 4096-Bit-Schlüssel transportiert.

Schlüssel-Management: Schlüssel werden zentral gespeichert, mit einem rollenbasierten Schlüssel verschlüsselt und der Zugriff ist beschränkt. Alle gespeicherten verschlüsselten Daten können auf einen neuen Schlüssel umgeschrieben werden. Die Verschlüsselungsschlüssel für die Datensätze sind von Region zu Region unterschiedlich, ebenso wie die Schlüssel auf Festplattenebene. Eine Weitergabe von Schlüsseln ist nicht gestattet und die Schlüsselverwaltung wird jährlich überprüft.

Können Kunden ihre eigenen Schlüssel hochladen?

Die Schlüsselverwaltung ist nicht kundenseitig konfigurierbar. Tenable verwaltet die Schlüssel und die Schlüsselrotation.

Hat Tenable irgendwelche Datenschutz- oder Sicherheitszertifikate wie das Datenschutzschild oder CSA STAR erhalten?

Tenable Network Security erfüllt die Anforderungen des EU-US Datenschutzschilds und des Schweiz-US Datenschutzschilds US-Handelsministeriums hinsichtlich der Erfassung, Verwendung und Speicherung von personenbezogenen Daten, die von der Europäischen Union bzw. der Schweiz in die USA übermittelt werden. Tenable Network Security hat sich mittels Zertifizierung gegenüber dem Handelsministerium zur Einhaltung der Grundsätze dieses Abkommens verpflichtet. Im Falle von Widersprüchen zwischen vorliegender Datenschutzrichtlinie und den Grundsätzen des Datenschutzschilds gelten die Grundsätze des Datenschutzschilds. Weitere Informationen zum Programm des Datenschutzschilds sowie unsere Verpflichtungserklärung finden Sie unter https://www.privacyshield.gov/.

Tenable hat die Selbstbewertung der Cloud Security Alliance (CSA) STAR abgeschlossen. Die Antworten von Tenable auf den Fragebogen der Consensus Assessment Initiative (CAIQ) beantworten eine Reihe von über 140 sicherheitsrelevanten Fragen, die ein Interessent, Kunde oder Partner von Tenable Vulnerability Management möglicherweise benötigt. CSA STAR ist das leistungsstärkste Programm der Branche für die Sicherheit in der Cloud. STAR (Security Trust & Assurance Registry) umfasst die wichtigsten Grundsätze der Transparenz, der strengen Prüfung und der Harmonisierung von Standards, einschließlich der Angabe von Best Practices und der Validierung der Sicherheitslage von Cloud-Angeboten.

Wie werden personenbezogene Daten (PPI) geschützt?

Die Tenable Vulnerability Management-Plattform bemüht sich, Typen personenbezogener Daten nicht in einem Format zu erfassen, das zusätzliche Zertifizierungen oder Sicherheitsmaßnahmen erfordert. Dazu gehören Kreditkartennummern, Sozialversicherungsnummern und andere benutzerdefinierte Checks. Wenn Tenable-Plugins Zeichenfolgen erfassen, die sensible oder personenbezogene Informationen enthalten können, verdeckt die Plattform automatisch mindestens 50 % der Zeichen, um so sensible Daten zu schützen.

Werden Kundendaten getrennt?

Die Daten jedes Kunden sind mit einer „Container-ID“ gekennzeichnet, die einem bestimmten Kundenabonnement entspricht. Diese Container-ID stellt sicher, dass der Zugriff auf die Daten eines Kunden nur auf diesen Kunden beschränkt ist.

Welche Sicherheitskontrollen schützen Tenable Vulnerability Management?

  • Tenable führt tägliche Schwachstellen-Scans durch.
  • Firewalls und Netzwerksegmentierung steuern den Zugriff.Automatisierte Tools und Prozesse überwachen die Verfügbarkeit und Leistung der Tenable Vulnerability Management-Plattform und erkennen Verhaltensanomalien.
  • Protokolle werden ganzjährig rund um die Uhr automatisiert überwacht und Tenable-Mitarbeiter sind jederzeit verfügbar, um auf Ereignisse zu reagieren.

Wie sind die Sensoren von Tenable Vulnerability Management abgesichert?

Die Sensoren, die mit der Plattform verbunden sind, spielen eine wesentliche Rolle für die Sicherheit eines Kunden, da sie Informationen zu Schwachstellen- und Assets erfassen. Der Schutz dieser Daten und die Gewährleistung sicherer Kommunikationswege sind Kernfunktionen von Tenable Vulnerability Management. Tenable Vulnerability Management unterstützt derzeit mehrere Sensoren: Tenable Nessus-Schwachstellen-Scanner, passive Scanner und Tenable Nessus Agents.

Nachdem sich diese Sensoren kryptografisch authentifiziert und mit Tenable Vulnerability Management verbunden haben, stellen sie eine Verknüpfung zur Tenable Vulnerability Management-Plattform her. Einmal verknüpft, verwaltet Tenable Vulnerability Management alle Updates (Plugins, Code usw.), um sicherzustellen, dass die Sensoren immer auf dem neuesten Stand sind.

Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Scanner-zu-Plattform-Authentifizierung
    • Die Plattform generiert einen zufälligen 256-Bit-Schlüssel für jeden an den Container angeschlossenen Scanner und übergibt diesen während des Verknüpfungsprozesses an den Scanner
    • Scanner verwenden diesen Schlüssel, um sich beim Anfordern von Aufträgen, Plugin-Updates und Updates der Scanner-Binärdatei bei der Steuerung zu authentifizieren
  • Scanner-zu-Plattform Jobkommunikation
    • Alle 30 Sekunden kontaktieren die Scanner die Plattform
    • Wenn es einen Job gibt, generiert die Plattform einen zufälligen 128-Bit-Schlüssel
    • Der Scanner fordert die Richtlinie von der Plattform an
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln, die die Anmeldeinformationen enthält, die während des Scans verwendet werden sollen

Wie wird die Verfügbarkeit von Tenable Vulnerability Management verwaltet?

Die Tenable Vulnerability Management-Services streben eine Verfügbarkeit von 99,95 % oder besser an. Bei den meisten Services wird eine Verfügbarkeit von 100 % erreicht. Tenable hat ein SLA veröffentlicht, das unsere Verpflichtung beschreibt, sicherzustellen, dass die Plattform allen Benutzern zur Verfügung steht und wie wir Kunden im Falle eines ungeplanten Ausfalls eine entsprechende Gutschrift erteilen.

Der Verfügbarkeitsstatus wird allein durch öffentliche Verfügbarkeitstests ermittelt, die von einer dritten Partei durchgeführt werden, die regelmäßig die Verfügbarkeit aller Services prüft. Die Verfügbarkeit der Services (aktuell und historisch) finden Sie unter https://status.tenable.com.

Tenable Vulnerability Management nutzt in hohem Maße die AWS-Plattform und andere führende Technologien, um zu gewährleisten, dass unsere Kunden den bestmöglichen Service und die bestmögliche Qualität erhalten. Nachfolgend finden Sie eine unvollständige Auflistung der Lösungen, die wir zum Nutzen unserer Kunden einsetzen

  • ElasticSearch-Cluster: Elasticsearch-Cluster sind hochverfügbar und können nach dem Verlust von Masterknoten, LB-Knoten und mindestens einem Datenknoten wiederhergestellt werden, ohne die Serviceverfügbarkeit zu beeinträchtigen.
  • Elastic Block Stores: Dienen zur Aufnahme von täglichen Snapshots und zur Speicherung von bis zu acht (8) Kopien.
  • Kafka-Ökosystem: Kafka und Zookeeper replizieren Daten im gesamten Cluster, um bei einem katastrophalen Ausfall eines Knotens Fehlertoleranz zu gewährleisten.
  • Postgres-Instanzen: Verwaltung des Backend-Microservice-Frameworks zur Aufbewahrung von Snapshots für bis zu 30 Tage.

Wo werden Daten repliziert?

Die replizierten Daten werden in der gleichen Region gespeichert.

Welche Möglichkeiten zur Systemwiederherstellung gibt es?

Katastrophen sind Ereignisse, die in einer oder mehreren Regionen zum unwiederbringlichen Verlust von Daten oder Geräten führen.

Die Disaster Recovery-Verfahren von Tenable Vulnerability Management umfassen mehrere Stufen und sind darauf ausgelegt, auf Situationen zu reagieren, die zwischen einmal in fünf Jahren und einmal in 50 Jahren auftreten können. Je nach Umfang der Katastrophe variieren die Wiederherstellungsverfahren zwischen 60 Minuten und 48 Stunden.

Wer kann auf Kundendaten zugreifen?

Kunden bestimmen, wer auf ihre Daten zugreifen darf, indem sie ihren Mitarbeitern Rollen und Berechtigungen zuweisen und den Support-Mitarbeitern von Tenable vorübergehend Zugriff gewähren.

Wie werden Benutzerrollen und Berechtigungen verwaltet?

Administratoren von Tenable Vulnerability Management-Kunden können Benutzerrollen (Basis, Standard, Administrator und Deaktiviert) zuweisen, um den Zugriff auf Scans, Richtlinien, Scanner, Agenten und Asset-Listen zu verwalten.

Können Mitarbeiter von Tenable auf Kundendaten zugreifen?

Ja. Mit der Erlaubnis des Kunden können sich Stufe 3-Mitarbeiter des globalen Supports von Tenable als Benutzerkonten ausgeben, was es ihnen ermöglicht, Operationen in Tenable Vulnerability Management als ein anderer Benutzer durchzuführen, ohne das Passwort dieses Benutzers zu erhalten. Die Aktivierung der Funktion kann von einem Supportmitarbeiter von Tenable oder vom Kunden beantragt werden. Der Kunde muss die Imitation durch eine Mitteilung in einem aktiven Supportfall genehmigen. Für jedes mit Support protokollierte Problem muss eine Genehmigung erteilt werden. Die Ausstellung einer pauschalen Genehmigung, um Imitationen jederzeit durchzuführen, ist bei Tenable nicht möglich. Die Imitation eines Benutzers kann dazu führen, dass Daten den primären Speicherort verlassen.

Alle Mitarbeiter von Tenable Vulnerability Management müssen eine externe Zuverlässigkeitsüberprüfung bestehen. Darüber hinaus verfügen alle Mitglieder des Senior-Teams über mindestens fünf Jahre Erfahrung bei SaaS-basierten Sicherheitssoftware-Unternehmen und viele von ihnen verfügen über Sicherheitszertifikate wie etwa CISSP.

Tenable hat einen definierten Einstellungs- und Kündigungsprozess. Alle Mitarbeiter sind verpflichtet, im Rahmen ihrer Einstellung Geheimhaltungsvereinbarungen zu unterzeichnen, und alle Konten und Zugriffsschlüssel werden bei Kündigung sofort entzogen.

Wer kann die Imitationsfunktion nutzen?

Die Imitationsfunktion darf nur von Tenable-Mitarbeitern der Stufe 3 genutzt werden.

Wird die Imitationsfunktion protokolliert?

Ja.

Verlassen die Daten das Land, wenn Tenable ein technisches Problem behebt?

Tenable unternimmt alle Anstrengungen, um den Schutz der Kundendaten zu gewährleisten. Wir stellen sicher, dass die Richtlinien eingehalten werden, indem wir mit den Kunden zusammenarbeiten, um zu gewährleisten, dass die Daten in der gewünschten Region bleiben. Jedoch kann es vorkommen, dass Kunden einen Bericht per E-Mail an Tenable senden oder anderweitig ihre eigenen Richtlinien verletzen, indem sie E-Mails außerhalb ihrer Region versenden.

Haben die Mitarbeiter von Tenable Zugriff auf das interne Netzwerk eines Kunden?

Nein. Der gesamte Datenverkehr wird vom Scanner initiiert und ist nur nach außen gerichtet. Die Scanner werden hinter der Firewall des Kunden installiert und diese können den Zugriff der Scanner über ihre Firewall steuern.

Wie lang werden Kundendaten innerhalb von Tenable Vulnerability Management aufbewahrt?

Die Aufbewahrungsfristen sind so gestaltet, dass sie verschiedenen Kunden- und gesetzlichen Anforderungen gerecht werden.

Wie lange werden Daten von aktiven Scans aufbewahrt?

Die Fähigkeit, Fortschritte im Zeitverlauf zu messen, ist eine Kernfunktion der Tenable Vulnerability Management-Plattform. Tenable Vulnerability Management peichert Kundendaten automatisch für einen Zeitraum von 15 Monaten und ermöglicht es den Kunden somit eine Berichterstellung über einen Zeitraum von einem (1) Jahr.

Wenn Kunden Daten für einen Zeitraum von mehr als 15 Monaten benötigen, bietet Tenable Vulnerability Management verschiedene Methoden zum Herunterladen von Kundendaten an, die der Kunde dann beliebig speichern kann.

Wie lange werden die Daten aufbewahrt, wenn ein Kunde den Tenable Vulnerability Management-Service einstellt?

Sollte das Konto eines Kunden enden oder gekündigt werden, behält Tenable die Daten, so, wie sie zum Zeitpunkt des Ablaufs waren und nicht länger als 180 Tage. Nach Ablauf dieser Zeit können diese Daten gelöscht und nicht mehr wiederhergestellt werden.

Wie lange werden Daten mit PCI-Bezug aufbewahrt?

Daten, die an einem PCI-Compliance-Validierungsprozess beteiligt sind, werden gemäß den PCI-Vorschriften frühestens drei Jahre nach dem Datum der PCI-Bescheinigung gelöscht.Tenable bewahrt diese Daten für diesen Zeitraum auf, auch wenn der Kunde seine Scans oder sein Konto löscht oder den Tenable Vulnerability Management-Service aufkündigt.

Wie lange werden Tenable Vulnerability Management-Nutzungsdaten gespeichert?

Um das bestmögliche Erlebnis zu gewährleisten, erfassen wir diese Informationen, solange ein Kundencontainer aktiv bleibt. Sobald ein Kunde den Service einstellt, werden die Daten für maximal 180 weitere Tage gespeichert.

Verfügt Tenable Vulnerability Management über eine Common Criteria-Zertifizierung?

Die Common Criteria-Zertifizierung wird in der Regel nicht auf eine SaaS-Lösung angewendet, da sich die Häufigkeit der Updates nicht für einen Zertifizierungsprozess eignet, der sechs bis neun Monate dauert.

Kann ein Kunde das Land wählen, in dem die Daten gespeichert werden?

In Ausnahmefällen, wenn ein Kunde vor der Bereitstellung einen bestimmten geografischen Standort wünscht, aktiviert Tenable den Kunden an diesem Standort. Aktuelle Standorte sind:

  • Osten
  • London
  • Frankfurt
  • Sydney
  • Singapur
  • Kanada
  • Japan
  • Brasilien
  • Indien

Werden die Daten an mehreren Orten innerhalb eines Landes gespeichert?

Nein. Tenable führt derzeit keine Datenreplikation von einem Ort zu einem anderen Ort durch.

PCI ASV

Was ist PCI ASV?

PCI ASV bezieht sich auf die Anforderung 11.2.2 der Payment Card Industry (PCI) Data Security Standard (DSS) Requirements and Security Assessment Procedures, das vierteljährliche externe Schwachstellenüberprüfungen erfordert, die von einem zugelassenen Scanning-Anbieter (Approved Scanning Vendor, ASV) durchgeführt (oder bescheinigt) werden müssen. Ein ASV ist ein Unternehmen, das über eine Reihe von Diensten und Tools („ASV Scanning Solution“) verfügt, um die Einhaltung der externen Scan-Anforderungen gemäß PCI DSS-Anforderung 11.2.2 zu überprüfen.

Welche Systeme sind für ASV-Scans geeignet?

Der PCI DSS erfordert eine Schwachstellenüberprüfung aller extern zugänglichen (internetfähigen) Systemkomponenten der zu überprüfenden Kunden, die Teil der Karteninhaberdatenumgebung sind, sowie aller extern zugewandten Systemkomponenten, die einen Pfad zur Karteninhaberdatenumgebung bereitstellen.

Was ist das ASV-Verfahren?

Die Hauptphasen einer ASV-Überprüfung bestehen aus:

  • Scoping: Wird vom Kunden durchgeführt, um alle internetfähigen Systemkomponenten, die Teil der Datenumgebung des Karteninhabers sind, einzubinden.
  • Scanning: Verwendung der Vorlage „PCI Quarterly External Scan“ von Tenable Vulnerability Management
  • Berichterstattung/Behebung: Ergebnisse aus Zwischenberichten werden korrigiert.
  • Streitbeilegung: Kunde und ASV arbeiten zusammen, um strittige Prüfergebnisse zu dokumentieren und zu beheben.
  • Nochmalige Überprüfung (bei Bedarf): Bis ein Durchlaufscan erzeugt wird, der Streitigkeiten und Ausnahmen gelöst hat.
  • Abschließende Berichterstattung Wird eingereicht und auf sichere Art und Weise zugestellt.

Wie häufig sind ASV-Scans erforderlich?

ASV-Schwachstellenscans sind mindestens vierteljährlich und nach jeder wesentlichen Änderung im Netzwerk erforderlich, wie z. B. nach Installationen neuer Systemkomponenten, Änderungen in der Netzwerktopologie, Änderungen der Firewall-Regeln oder nach Produkt-Upgrades.

Wie unterscheidet sich ein zugelassener Scanning-Anbieter (ASV) von einem qualifizierten Sicherheitsgutachter (QSA)?

Ein zugelassener Scanning-Anbieter (ASV) führt speziell nur die in PCI DSS 11.2 beschriebenen externen Schwachstellenscans durch. Als QSA bezeichnet man ein Gutachterunternehmen, das vom PCI Security Standards Council (SSC) qualifiziert und geschult wurde, um allgemeine PCI DSS Prüfungen vor Ort durchzuführen.


Funktionalität der Tenable PCI ASV-Lösung

Ist Tenable ein zertifizierter PCI ASV?

Ja, Tenable ist als zugelassener Scanning-Anbieter (ASV) qualifiziert, um externe Schwachstellen-Scans von mit dem Internet verbundenen Umgebungen (die zur Speicherung, Verarbeitung oder Übertragung von Karteninhaberdaten verwendet werden) von Händlern und Dienstleistern zu validieren. Der ASV-Qualifizierungsprozess besteht aus drei Teilen: Der erste Teil beinhaltet die Qualifizierung von Tenable Network Security als Anbieter. Der zweite Teil betrifft die Qualifizierung von Tenable-Mitarbeitern, die für die Remote-PCI-Scandienste zuständig sind. Der dritte Teil besteht aus dem Sicherheitstest der Tenable-Lösung für Remote-Scans (Tenable Vulnerability Management und Tenable PCI ASV).

Führt Tenable als zugelassener Scanning-Anbieter (ASV) die Scans tatsächlich durch?

ASVs können die Überprüfungen durchführen. Tenable ist jedoch darauf angewiesen, dass Kunden ihre eigenen Scans mit der Vorlage „PCI Quarterly External Scan“ durchführen. Diese Vorlage verhindert, dass Kunden die Konfigurationseinstellungen ändern, wie z. B. das Deaktivieren von Schwachstellen-Checks, das Zuweisen von Schweregraden, das Ändern von Scan-Paramenten usw. Kunden nutzen die cloudbasierten Scanner von Tenable Vulnerability Management, um um ihre Internet-Umgebungen zu scannen und dann konforme Scan-Berichte zur Bescheinigung an Tenable zu übermitteln. Tenable bescheinigt die Scan-Berichte, und der Kunde übergibt sie dann an seine Auftraggeber oder Zahlungsdienstleister gemäß den Vorgaben der Zahlungsdienstleister.


Datenhoheit

Erfüllt Tenable PCI ASV die Anforderungen an die Datenhoheit der EU?

Schwachstellen-Daten sind keine EU DPD 95/46/EC-Daten, so dass die Anforderungen an den Datenaufbewahrungsort vom Kunden und nicht vom Gesetzgeber bestimmt werden. Staatliche EU-Organisationen könnten ihre eigenen Anforderungen an die Datenaufbewahrung haben, aber diese müssten von Fall zu Fall geprüft werden und sind wahrscheinlich kein Problem für PCI ASV-Scans.


Tenable Vulnerability Management ASV Preise/Lizenz/Bestellung

Beinhaltet Tenable Vulnerability Management Lizenzen für PCI ASV?

Ja, Tenable Vulnerability Management beinhaltet eine PCI ASV-Lizenz für ein einzelnes, eindeutiges PCI-Asset. Einige Unternehmen haben große Anstrengungen unternommen, um die Assets für PCI einzuschränken, oftmals durch Auslagerung von Zahlungsverarbeitungsfunktionen. Da diese Kunden als „nicht im PCI-Business tätig“ eingeordnet werden können, hat Tenable den Kauf und die Lizenzierung für sie vereinfacht. Ein Kunde kann sein Asset alle 90 Tage ändern.

Wie wird Tenable PCI ASV lizenziert?

Für Kunden mit mehr als einem einzigen, eindeutigen PCI-Asset wird die Tenable PCI ASV-Lösung als Add-on zur Subscription von Tenable Vulnerability Management lizenziert.

Warum wird Tenable PCI ASV nicht nach der Anzahl der mit dem Internet verbundenen PCI-Assets eines Kunden lizenziert?

Die Anzahl der internetfähigen Hosts, die sich innerhalb der Karteninhaberdatenumgebung (CDE) eines Unternehmens befinden oder einen Pfad zu dieser bereitstellen, kann sich häufig ändern, wodurch die Lizenzierung komplexer wird. Tenable hat sich für einen einfacheren Lizenzierungsansatz entschieden.

Wie viele Bescheinigungen darf ein Kunde pro Quartal abgeben?

Kunden können eine unbegrenzte Anzahl von vierteljährlichen Bescheinigungen einreichen.

Sind Test-/Evaluierungskunden berechtigt, Tenable PCI ASV zu testen?

Ja. Testkunden können die Vorlage „PCI Quarterly External Scan“ verwenden, um Assets zu scannen und Ergebnisse zu überprüfen. Sie können jedoch keine Scanberichte zur Bescheinigung einreichen.