Vertrauen und Sicherheit

Die Sicherheit Ihrer Daten hat für uns oberste Priorität.

Sicherheit ist das Herzstück unseres Firmenethos. Unsere Produkte sind darauf ausgelegt, die Vertraulichkeit, Integrität und Verfügbarkeit all Ihrer Daten zu schützen.

Trust Tenable with your data security and privacy

Unsere Produkte unterstützen Ihren Datenschutz und geben Ihnen Kontrolle über Ihre Daten, da sie auf einer sicheren und regelkonformen Cloud aufsetzen. Deshalb vertrauen Tausende von Kunden Tenable ihre Schwachstellendaten an.


Datensicherheit

Tenable setzt sich für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten ein. Tenable One Vulnerability Management data is encrypted in transit and stored using modern ciphers and methods recommended by security industry and standards organizations. Zahlreiche Netzwerkkontrollen, Zugriffskontrollen sowie Container-Isolation gewährleisten, dass Sicherheit in jeden Aspekt unserer Produkte integriert ist, um Ihre Daten zu schützen.

Verschlüsselung

Tenable One Vulnerability Management data is encrypted in transit and storage using TLS Encryption ciphers and AES-256. Die Verschlüsselung wird auf verschiedene Schichten der Anwendungsinfrastruktur angewendet, wobei ein hochgradig eingeschränkter Zugriff auf sicher gespeicherte Verschlüsselungscodes besteht.

Zugriffskontrollen

Tenable setzt zahlreiche Mechanismen ein, um Sie bei der Datenzugriffskontrolle zu unterstützen, darunter eine Kontosperrung nach 5 fehlgeschlagenen Login-Versuchen, SAML sowie Zwei-Faktor-Authentifizierung. Der Zugriff kann ebenfalls über API-Schlüssel gesteuert werden.

Netzwerkkontrollen

Die Tenable-Cloud-Plattform ist auf isolierten, privaten Netzwerken aufgebaut und verwendet mehrere Netzwerkkontrollen, wie z. B. Container-Isolierung, Beschränkungen des eingehenden/internen Datenverkehrs sowie die Überwachung der Raten, Quellen und Arten von Datenverkehr an verschiedenen Netzwerkpunkten.

Regelmäßige Sicherheitsbewertungen

Tenable führt häufige Schwachstellen-, Docker-Container- und Web-App-Scans durch und setzt darüber hinaus das Tenable Research-Team und Drittanbieter ein, um regelmäßige Sicherheitsprüfungen durchzuführen.


Datenschutz

Eine unserer obersten Prioritäten ist es, sicherzustellen, dass nur Sie Zugriff auf Ihre jeweiligen Daten haben, und zu verhindern, dass Nicht-Kunden oder böswillige Akteure auf Daten in der Tenable-Cloud-Plattform zugreifen können, diese offenlegen oder ihre Vertraulichkeit und ihren Schutz verletzen. Darüber hinaus sind unsere Produkte dank mehrerer Datenzugriffskontrollen und Datenlokalisierung darauf ausgelegt, Ihre Daten zu schützen und Sie bei der Einhaltung von Datenschutzbestimmungen zu unterstützen.

Anonymisierung von Daten

Bei Scandaten, die wir für branchenübergreifende Analysen verwenden, werden alle Daten, die möglicherweise einen Kunden identifizieren könnten, vor der Verwendung in der Tenable One-Plattform weggelassen oder anonymisiert.

Datenzugriff

Tenable verwendet eine Reihe von Datenzugriffskontrollen, einschließlich Kontosperrung, Zwei-Faktor-Authentifizierung und SAML. Der Zugriff auf anonymisierte Daten ist ausschließlich auf das Tenable Research-Team beschränkt und wird über ein zentrales Verzeichnissystem gesteuert.

Datenlokalisierung

Die Erfassung und Verarbeitung von Kunden-Scandaten erfolgt innerhalb der geografischen Region eines Kunden. Ergebnisse werden anonymisiert und erst danach mit ähnlichen Daten in unserer Analyseplattform aggregiert.


Zertifizierungen und Sicherheitsgewährleistung

Dank zahlreicher Zertifizierungen, darunter ISO 27001, NIAP und Privacy Shield Framework, unterstützen Tenable-Produkte Sie bei der Erfüllung Ihrer Compliance-Anforderungen und gewährleisten eine hohe Sicherheit in der Cloud. Tenable ist außerdem ein Mitglied des CSA STAR-Programms.

>FedRAMP

FedRAMP

Tenable One Vulnerability Management and Tenable One Web App Scanning received FedRAMP Authorization to Operate (ATO) in 2021, demonstrating our commitment to cloud security and compliance.

StateRAMP

StateRAMP

Tenable One Vulnerability Management is StateRAMP Authorized, demonstrating our commitment to the security of State and Local Government agencies.

Cloud Security Alliance (CSA) STAR

Tenable ist ein Mitglied des CSA STAR-Programms. CSA STAR ist das branchenweit leistungsstärkste Programm zur Gewährleistung der Sicherheit in der Cloud. To view the security controls for Tenable One Vulnerability Management, visit the CSA website.

ISO 27001

Die ISO/IEC 27001:2022-Zertifizierung von Tenable bezieht sich auf das ISMS, das die Funktionsbereiche Recht, Personalwesen, Informationstechnologie, Softwareentwicklung, Unternehmensführung und Kundensupport von Tenable unterstützt. Einzelheiten sind im Schellman Certificate Directory öffentlich zugänglich..

Privacy Shield Framework

Tenable ist nach dem Privacy Shield Framework zertifiziert und erfüllt alle Datenschutzanforderungen bei der Übertragung personenbezogener Daten aus der Europäischen Union und der Schweiz in die USA.

National Information Assurance Program (NIAP)

Tenable hat NIAP-Zertifizierungen für die Produkter Tenable Security Center, Nessus Manager, Nessus Network Monitor und Nessus Agent.

SOC 2

Der SOC-2-Bericht von Tenable ist das Ergebnis einer Prüfung durch Dritte, bei der die Konformität von Tenable mit dem Regelwerk für Service Organization Controls (SOC) bewertet wird. Der SOC 2-Bericht von Tenable wird auf Anfrage und unter MNDA zur Verfügung gestellt. Bitte wenden Sie sich an den für Sie zuständigen Account-Manager, um eine Kopie anzufordern.

Service-Verfügbarkeit

Tenable bietet die branchenweit erste Verfügbarkeitsgarantie von 99,95 %, um zu gewährleisten, dass Ihr Service immer verfügbar ist. Tenable implementiert Maßnahmen und setzt diese entsprechend durch, um sicherzustellen, dass Tenable-Services in hohem Maße verfügbar, vor Angriffen oder einfachen Fehlern und Ausfällen geschützt und jederzeit nutzbar sind.

Sichere Softwareentwicklung

Tenable verfügt über ein spezielles Team, das den Secure Software Development Lifecycle (SSDLC) vorantreibt. Durch den Einsatz von automatisierten Sicherheitstests identifizieren diese Experten potenzielle Schwachstellen im Quellcode, in Abhängigkeiten und in der zugrunde liegenden Infrastruktur, um sicherzustellen, dass wir sichere, qualitativ hochwertige Produkte schnell ausliefern.

Governance

Das SSDLC-Team von Tenable sorgt für die Einhaltung von Sicherheitskontrollen in unseren Prozessen und und setzt automatisierte Sicherheitstests zur Identifizierung potenzieller Schwachstellen ein. Sämtliche Tests müssen strenge Bewertungskriterien erfüllen, bevor Produkte verfügbar gemacht werden.

Static Application Security Testing (SAST)

Tenable analysiert den Quellcode der Anwendungen auf Programmfehler, technische Fehler und Schwachstellen, um die Sicherheit und Qualität unserer Produkte zu gewährleisten.

Scannen von Abhängigkeiten und Drittanbieter-Bibliotheken

Tenable analysiert die Projektabhängigkeiten, um Schwachstellen und Lizenzierungsprobleme zu ermitteln.

Dynamic Application Security Testing (DAST)

Tenable führt regelmäßig automatisierte Scans von Webanwendungen für unsere Produkte durch, um Fehler, Exploits und Schwachstellen frühzeitig im Entwicklungsprozess zu entdecken.

Produkt-Sicherheitshinweise

Sobald Probleme in Bezug auf unsere Software bekannt werden, veröffentlicht Tenable diese und stellt den Kunden entsprechende Korrekturen zur Verfügung. Weitere Informationen erhalten Sie hier.

Code-Standards und rollenbasierte Zugriffskontrolle

Die Baseline-Standards für die Quellcodekontrolle von Tenable entsprechen Zertifizierungsanforderungen und branchenüblichen Best Practices. Dazu gehören: Peer-Review von Code, rollenbasierte Zugriffskontrolle, geringste Rechte, Code- und Repository-Verantwortlichkeit, Aufgabentrennung und mehr.


Schwachstellenmanagement

Als ein führender Anbieter von Vulnerability-Management-Lösungen setzt Tenable seine Plattformen ein, um interne Scans durchzuführen und Schwachstellen auf Laptops sowie in Infrastruktur- und Cloud-Umgebungen zu analysieren.

FAQs

Wie schützt Tenable meine Daten?

Tenable setzt sich für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Kundendaten ein. Tenable One Vulnerability Management-Daten werden während der Übertragung verschlüsselt und mithilfe von TLS-Verschlüsselungs-Chiffren gespeichert. AES-256-Verschlüsselung wird auf Schichten der Anwendungsinfrastruktur angewendet.

Die Tenable-Cloud-Plattform ist auf isolierten, privaten Netzwerken aufgebaut und verwendet mehrere Netzwerkkontrollen, wie z. B. Container-Isolierung, Beschränkungen des eingehenden/internen Datenverkehrs sowie die Überwachung der Raten, Quellen und Arten von Datenverkehr an verschiedenen Netzwerkpunkten.

Darüber hinaus implementiert Tenable mehrere Zugriffskontrollen, um Kunden bei der Datenzugriffskontrolle zu unterstützen, und führt häufige Schwachstellen-Scans sowie Scans von Docker-Containern und Webanwendungen durch, um regelmäßige Sicherheitsbewertungen vorzunehmen.

Detaillierte Beschreibungen der angewandten Sicherheitsmaßnahmen finden Sie im Datenblatt zu Datensicherheit und Datenschutz.

Which customer data does Tenable One Vulnerability Management manage?

Ultimately, the customer data Tenable One Vulnerability Management manages has a single purpose: to deliver an exceptional experience as customers manage assets and vulnerabilities to secure their environments. To that end, Tenable One Vulnerability Management manages three categories of customer data:

  1. Asset- und Schwachstellendaten
  2. Umgebungsspezifische Leistungsdaten
  3. Kundennutzungsdaten

Which customer asset and vulnerability data does Tenable One Vulnerability Management manage?

Tenable One Vulnerability Management inventories assets on customers' networks and manages asset attributes that may include IP address, MAC address, NetBIOS name, operating system and version, active ports and more.

Tenable One Vulnerability Management collects detailed current and historical vulnerability and configuration data, which may include criticality, exploitability and remediation status and network activity. Additionally, if customers enhance Tenable One Vulnerability Management data with integrations to third-party products, such as asset management systems and patch management systems, Tenable Vulnerabilty Management may manage data from those products.

Analysiert oder nutzt Tenable Kundendaten?

Tenable anonymisiert und analysiert Kundendaten, um Trends in der Branche, Trends in Bezug auf die Zunahme von Schwachstellen und deren Behebung sowie Trends bei Sicherheitsvorfällen zu ermitteln. So bringt beispielsweise die Korrelation zwischen dem Vorhandensein einer Schwachstelle und deren Ausnutzung immense Vorteile für Tenable-Kunden mit sich. Die in unserer Cloud gesammelten Daten enthalten keine Scandaten, die persönliche Identifikationsmerkmale (PII) oder personenbezogene Daten enthalten. Für Scandaten, die wir zur Durchführung branchenübergreifender Analysen verwenden, werden alle Daten, die einen Kunden potenziell identifizieren könnten, vor der Verwendung aus der Tenable One-Plattform entfernt oder darin anonymisiert. Additional benefits of Tenable's data analysis include advanced analytics and improved correlation of customer data with industry and security events and trends. Das Sammeln und Analysieren solcher Daten ermöglicht Kunden auch, sich mit anderen in der Branche oder insgesamt zu vergleichen. Tenable bietet Kunden auf Wunsch eine Opt-out-Möglichkeit.

Können sich Kunden gegen die Erhebung von Zustands- und Statusdaten entscheiden?

To maintain Tenable One Vulnerability Management performance and availability and deliver the best possible user experience, Tenable One Vulnerability Management collects customer-specific application status and health information. Dies beinhaltet, wie oft der Scanner mit der Plattform kommuniziert, die Anzahl der gescannten Assets und Versionen der eingesetzten Software sowie andere allgemeine Telemetriedaten, um mögliche Probleme so schnell wie möglich zu erkennen und zu beheben.

Tenable nutzt Zustands- und Statusdaten, um potenzielle Probleme rechtzeitig zu erkennen und zu beheben und so die SLA-Verpflichtungen zu erfüllen. Daher können sich Kunden nicht gegen diese Datenerhebung entscheiden.

Which usage data does Tenable One Vulnerability Management collect?

Zur Auswertung und Verbesserung des Kundenerlebnisses erfasst Tenable anonymisierte Nutzungsdaten. Zu diesen Daten gehören Seitenzugriffe, Klicks und andere Benutzeraktivitäten, in deren Rahmen sich Benutzer in die Optimierung und Verbesserung des Benutzererlebnisses einbringen können.

Können sich Benutzer gegen die Erhebung von Nutzungsdaten entscheiden?

Ja. Ein Kunde kann verlangen, dass sein Container nicht länger in den Datenerhebungsprozess einbezogen wird.

Wo werden Kundendaten gespeichert?

Tenable uses data centers and services from Amazon Web Services (AWS) to provide and deliver Tenable One Vulnerability Management to customers. Collection and processing of customer scan data occurs inside the Tenable cloud platform within the geographic region where the customer's account is hosted, unless the customer explicitly selects a different geographic region for the data to reside. Aktuelle Standorte sind:

  • U.S. East
  • U.S West
  • U.S Central
  • London
  • Frankfurt
  • Sydney
  • Singapur
  • Kanada
  • Japan

Tenable wird in Zukunft weitere Länder unterstützen.

Da sämtliche Kundendaten in sicheren, regionalen AWS-Services aufbewahrt werden, gelten die Zertifizierungen für den EU-Datenschutz, die AWS unterhält, auch für die Tenable Cloud. Weitere Informationen finden Sie unter https://aws.amazon.com/compliance/eu-data-protection/.

Kann ein Kunde die Aufbewahrung von Daten an einem bestimmten Ort/Land erzwingen?

Ja. Die Daten werden in dem Land gespeichert, das bei Erstellung des Kontos ausgewählt wurde.

How is customer data protected within Tenable One Vulnerability Management?

Tenable applies multiple security measures to deliver Tenable One Vulnerability Management data security and privacy. Detaillierte Beschreibungen der angewandten Sicherheitsmaßnahmen finden Sie im Datenblatt zu Datenblatt zu Datensicherheit und Datenschutz.

Wie funktioniert eine sichere Entwicklung bei Tenable?

Ausführliche Details finden Sie im Datenblatt zu Datensicherheit und Datenschutz.

Tenable verfügt über ein spezielles funktionsübergreifendes Team, das den Secure Software Development Lifecycle (SSDLC) unterstützt. Um sichere, qualitativ hochwertige Produkte zügig bereitstellen zu können, setzt Tenable automatisierte Sicherheitstests ein und ist so in der Lage, potenzielle Schwachstellen im Quellcode, in Abhängigkeiten und in der zugrunde liegenden Infrastruktur zu identifizieren, bevor Produkte für Kunden veröffentlicht werden. Tenable nutzt Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST), scannt Abhängigkeiten und Bibliotheken von Drittanbietern und testet Container-Images auf Schwachstellen. Während des gesamten Entwicklungsprozesses werden strenge Bewertungskriterien eingehalten und durchgesetzt.

Welche Sicherheitsmaßnahmen für Kundenanwendungen sind verfügbar?

Tenable stellt eine Reihe von Mechanismen zur Verfügung, die Kunden helfen sollen, ihre Daten zu schützen und den Zugriff zu steuern. Dazu gehören:

  • Bei der Übertragung und Speicherung von Daten wird AES-256- und TLS-Verschlüsselung eingesetzt. Verschlüsselungsschlüssel werden sicher aufbewahrt und der Zugriff darauf wird beschränkt. Die Verschlüsselung wird auf verschiedene Schichten der Anwendungsinfrastruktur angewendet und eine Weitergabe von Schlüsseln ist nicht gestattet.
  • Tenable schützt vor Brute-Force-Angriffen, indem Konten nach fünf (5) fehlgeschlagenen Anmeldeversuchen gesperrt werden.
  • Kunden können die Zwei-Faktor-Authentifizierung über Services von Twillo konfigurieren.
  • Customers can integrate Tenable One Vulnerability Management with their SAML deployment. Tenable One Vulnerability Management supports both IdP and SP initiated requests. Außerdem können Benutzer ihr Passwort direkt in der Anwendung unter Verwendung ihrer E-Mail-Adresse zurücksetzen.
  • Customers can build custom connections to Tenable One Vulnerability Management using our documented APIs or SDKs. Zugriff kann durch die Erstellung spezifischer API-Schlüssel gewährt und entsprechend kontrolliert werden. Die Verwendung unterschiedlicher Schlüssel für verschiedene Integrationen wird unterstützt, ohne dass Zugangsdaten weitergegeben werden müssen.
  • Die in unserer Cloud erfassten Daten umfassen keinerlei Scandaten, die persönlich identifizierbare oder personenbezogene Daten (PII) enthalten. Bei Scandaten, die wir für branchenübergreifende Analysen verwenden, werden alle Daten, die möglicherweise einen Kunden identifizieren könnten, vor der Verwendung in der Tenable One-Plattform weggelassen oder anonymisiert.
  • Um Daten davor zu schützen, dass sie abgefangen werden, wird die gesamte Kommunikation zur Plattform über SSL (TLS-1.2) verschlüsselt. Außerdem werden ältere, unsichere SSL-Übertragungen abgelehnt, um so ein Höchstmaß an Schutz zu gewährleisten.

Wie werden die Daten verschlüsselt?

All data in all states in the Tenable One Vulnerability Management platform is encrypted with at least one level of encryption, using AES-256 and TLS encryption ciphers.

Im Ruhezustand: Daten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Einige Datenklassen enthalten eine zweite Stufe der Verschlüsselung pro Datei.

Bei der Übertragung: Bei der Übertragung werden Daten mittels TLS v1.2 mit einem 4096-Bit-Schlüssel verschlüsselt (auch bei interner Übertragung).

Tenable One Vulnerability Management Sensor Communication: Der Datenverkehr von Sensoren zur Plattform wird immer durch den Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Authentifizierung zwischen Scanner und Plattform
    • Die Plattform generiert einen Zufallsschlüssel mit einer Länge von 256 Bit für jeden mit dem Container verbundenen Scanner und gibt diesen Schlüssel während des Anbindungsvorgangs an den Scanner weiter.
    • Scanner verwenden diesen Schlüssel, um sich beim Controller zu authentifizieren, wenn sie Aufträge, Plugin-Updates und Updates der Scanner-Binärdatei anfordern.
  • Auftragskommunikation zwischen Scanner und Plattform
    • Scanner kontaktieren die Plattform alle 30 Sekunden.
    • Wenn ein Auftrag vorliegt, generiert die Plattform einen Zufallsschlüssel mit einer Länge von 128 Bit.
    • Der Scanner fordert die Richtlinie von der Plattform an.
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln. Diese enthält die Zugangsdaten, die während des Scans verwendet werden sollen.

Bei Backups/Replikation: Volume-Snapshots und Datenreplikate werden mit der gleichen Verschlüsselungsstufe wie ihre Quelle gespeichert, mindestens jedoch mit AES-256. Die gesamte Replikation erfolgt über den Provider. Tenable erstellt keine Backups von Daten auf physischen externen Medien oder physischen Systemen.

In Indizes: Indexdaten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Scan-Zugangsdaten:Are stored inside of a policy that is encrypted within the container's AES-256 global key. Wenn Scans gestartet werden, wird die Richtlinie mit einem zufälligen 128-Bit-Einmalschlüssel verschlüsselt und via TLS v1.2 mit einem 4096-Bit-Schlüssel übertragen.

Schlüsselverwaltung: Schlüssel werden zentral gespeichert, mit einem rollenbasierten Schlüssel verschlüsselt und der Zugriff ist beschränkt. Alle gespeicherten verschlüsselten Daten können auf einen neuen Schlüssel umgeschrieben werden. Die Verschlüsselungsschlüssel für die Datendatei (Datafile) sind an jedem regionalen Standort unterschiedlich, ebenso wie die Schlüssel auf Datenträgerebene. Eine Weitergabe von Schlüsseln ist nicht gestattet und die Schlüsselverwaltung wird jährlich überprüft.

Können Kunden ihre eigenen Schlüssel hochladen?

Die Schlüsselverwaltung ist nicht kundenseitig konfigurierbar. Tenable verwaltet die Schlüssel und die Schlüsselrotation.

Hat Tenable irgendwelche Datenschutz- oder Sicherheitszertifikate wie das Datenschutzschild oder CSA STAR erhalten?

Tenable hat die folgenden Zertifizierungen erhalten:

  • Cloud Security Alliance (CSA) STAR
  • Privacy Shield Framework
  • ISO 27001
  • National Information Assurance Program (NIAP)
  • FedRAMP authorization for Tenable One Vulnerability Management and Tenable One Web App Scanning

Wie schützt Tenable persönlich identifizierbare Informationen (PII)?

The Tenable One Vulnerability Management platform makes every effort not to collect PII data types in a format that would require additional certifications or security measures. Die in unserer Cloud gesammelten Daten enthalten keine Scan-Daten, die PII oder personenbezogene Daten enthalten. Für Scandaten, die wir zur Durchführung branchenübergreifender Analysen verwenden, werden alle Daten, die einen Kunden potenziell identifizieren könnten, vor der Verwendung aus der Tenable One-Plattform entfernt oder darin anonymisiert. Dies umfasst Kreditkartennummern, Sozialversicherungsnummern und andere individuelle Überprüfungen. Wenn Tenable-Plug-ins Zeichenketten erfassen, die sensible oder persönliche Informationen enthalten könnten, verschleiert die Plattform automatisch mindestens 50 % der Zeichen, um sensible Daten zu schützen.

Werden Kundendaten getrennt?

Each customer's data is marked with a “container ID” that corresponds to a specific customer subscription. This container ID assures access to a customer's data is limited to only that customer.

Which security controls protect Tenable One Vulnerability Management?

Tenable nutzt seine eigenen Lösungen, um täglich, wöchentlich oder monatlich Scans aller Laptops, der gesamten Infrastruktur und sämtlicher Cloud-Umgebungen des Unternehmens durchzuführen. All findings are analyzed, ticketed and tracked in accordance with the Tenable One Vulnerability Management policy. Tenable's vulnerability management program encompases authenticed, agent, web application and database scanning. Darüber hinaus sind folgende Kontrollen vorhanden:

  • Firewalls und Netzwerksegmentierung steuern den Zugriff.
  • Automated tools and processes monitor the Tenable One Vulnerability Management platform for uptime, performance and to detect anomalous behavior.
  • Protokolle werden ganzjährig rund um die Uhr automatisiert überwacht und Tenable-Mitarbeiter sind jederzeit verfügbar, um auf Ereignisse zu reagieren.
  • Penetrationstests unserer Anwendungen, Services und geschäftlichen Abläufe erfolgen durch Drittanbieter.
  • Tenable stellt eine Seite zur Meldung von Schwachstellen (Vulnerability Reporting Board) bereit, damit die gesamte Sicherheitsforscher-Community identifizierte Mängel oder Schwachstellen melden und Tenable darauf reagieren kann. Im Anschluss an eine Ersteinschätzung und entsprechende Reaktion auf diese Meldungen veröffentlicht Tenable Sicherheitsempfehlungen („Security Advisories“), die sowohl Kunden als auch Interessenten und der breiteren Community zugutekommen.
  • Im Rahmen eines Risikomanagementprogramms unterzieht Tenable jeden Drittanbieter einer strengen Prüfung.

How are Tenable One Vulnerability Management sensors secured?

The sensors that connect to the platform play a major role in a customer's security, collecting vulnerability and asset information. Protecting this data and ensuring the communication paths are secure is a core function of Tenable One Vulnerability Management. Tenable One Vulnerability Management supports several sensors today: Nessus Schwachstellen-Scanner, passive Scanner und Nessus Agents.

These sensors connect to the Tenable One Vulnerability Management platform after cryptographically authenticating and linking to Tenable One Vulnerability Management. Once linked, Tenable One Vulnerability Management manages all updates (plugins, code, etc.) to ensure the sensors are always up to date.

Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

  • Authentifizierung zwischen Scanner und Plattform
    • Die Plattform generiert einen Zufallsschlüssel mit einer Länge von 256 Bit für jeden mit dem Container verbundenen Scanner und gibt diesen Schlüssel während des Anbindungsvorgangs an den Scanner weiter.
    • Scanner verwenden diesen Schlüssel, um sich beim Controller zu authentifizieren, wenn sie Aufträge, Plugin-Updates und Updates der Scanner-Binärdatei anfordern.
  • Auftragskommunikation zwischen Scanner und Plattform
    • Scanner kontaktieren die Plattform alle 30 Sekunden.
    • Wenn ein Auftrag vorliegt, generiert die Plattform einen Zufallsschlüssel mit einer Länge von 128 Bit.
    • Der Scanner fordert die Richtlinie von der Plattform an.
    • Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln. Diese enthält die Zugangsdaten, die während des Scans verwendet werden sollen.

How is Tenable One Vulnerability Management availability managed?

The Tenable One Vulnerability Management services strive to provide a 99.95% or better uptime, and have delivered 100% uptime on the majority of services. Eine von Tenable veröffentlichte Service-Level-Vereinbarung (SLA) gibt Aufschluss über unser Engagement, die Verfügbarkeit der Plattform für sämtliche Benutzer sicherzustellen, sowie über entsprechende Gutschriften für Kunden im Falle von ungeplanten Ausfallzeiten.

Der Verfügbarkeitsstatus wird einfach durch öffentliche Verfügbarkeitstests ermittelt, die von einem Drittanbieter gehostet werden, der die Verfügbarkeit aller Services regelmäßig prüft. Die Verfügbarkeit der Services (sowohl aktuell als auch historisch) finden Sie unter https://status.tenable.com/.

Tenable One Vulnerability Management makes extensive use of the AWS platform and other leading technologies to ensure our customers experience the best possible service and overall quality. Nachfolgend finden Sie eine unvollständige Aufzählung der bereitgestellten Lösungen und Vorteile für Kunden:

  • Elasticsearch-Cluster: Elasticsearch-Cluster sind hochverfügbar und können nach dem Ausfall von Master-Knoten, LB-Knoten und mindestens einem (1) Datenknoten wiederhergestellt werden, ohne die Serviceverfügbarkeit zu beeinträchtigen.
  • Elastic Block Stores: Elastic Block Stores werden zur Aufnahme von täglichen Snapshots und zur Speicherung von acht (8) Datenkopien verwendet.
  • Kafka-Ökosystem: Kafka und Zookeeper replizieren Daten im gesamten Cluster, um bei einem katastrophalen Ausfall eines Knotens Fehlertoleranz zu gewährleisten.
  • Postgres-Instanzen: Postgres-Instanzen verwalten das Backend-Microservice-Framework, um Snapshots im Umfang von 30 Tagen aufzubewahren.

Wo werden Daten repliziert?

Die replizierten Daten werden in der gleichen Region gespeichert.

Welche Disaster Recovery-Funktionen sind vorhanden?

Katastrophen sind Ereignisse, die in einer oder mehreren Regionen zum unwiederbringlichen Verlust von Daten oder Geräten führen.

Tenable One Vulnerability Management disaster recovery procedures have several levels and are designed to react to situations that may occur from anywhere between once in five years to once in 50 years. Je nach Ausmaß der Katastrophe dauern die Wiederherstellungsverfahren zwischen 60 Minuten und 24 Stunden.

Wer kann auf Kundendaten zugreifen?

Kunden bestimmen, wer auf ihre Daten zugreifen darf, indem sie ihren Mitarbeitern Rollen und Berechtigungen zuweisen und den Support-Mitarbeitern von Tenable vorübergehend Zugriff gewähren.

Wie werden Benutzerrollen und Berechtigungen verwaltet?

Tenable One Vulnerability Management customer administrators can assign user roles (basic, scan operator, standard, scan manager, administrator and disabled) to manage permissions for major functions in Tenable One Vulnerability Management such as access to scans, policies, scanners, agents and asset lists. Darüber hinaus können Kunden Zugriffsgruppen zuweisen, um bestimmten Gruppen in ihrem Unternehmen die Möglichkeit zu bieten, spezifische Assets und dazugehörige Schwachstellen in den aggregierten Scan-Ergebnissen anzuzeigen, Scans für bestimmte Ziele durchzuführen und individuelle Scan-Ergebnisse anzuzeigen.

Können Mitarbeiter von Tenable auf Kundendaten zugreifen?

Ja, Tenable Technical Support restricts the Tenable One Vulnerability Management impersonation privilege to a subset of authorized senior roles. With customer permission, authorized senior members of Tenable's global support staff can impersonate user accounts, which allows them to perform operations in Tenable One Vulnerability Management as another user without needing to obtain that user's password.

Die Aktivierung der Funktion kann von einem Supportmitarbeiter von Tenable oder vom Kunden beantragt werden. If Tenable Technical Support needs to impersonate a Tenable One Vulnerability Management user, a ticket is opened and tracked until closure. Nachdem festgestellt wird, dass aus geschäftlicher Sicht eine Notwendigkeit zur Imitation besteht, wendet sich der technische Support in einer E-Mail an den Kunden. Dieser muss dann per E-Mail bestätigen, dass der technische Support berechtigt ist, sich als der jeweilige Benutzer auszugeben. Der technische Support wird sich erst dann als der jeweilige Benutzer ausgeben, wenn der Kunde seine Genehmigung erteilt hat. Für jedes Problem, das beim Support gemeldet wird, muss eine Genehmigung erteilt werden. Genehmigungen werden über das anfängliche Ticket verfolgt. Die Ausstellung einer pauschalen Genehmigung, Imitationen jederzeit durchführen zu können, ist bei Tenable nicht möglich.

Tenable hat einen definierten Einstellungs- und Kündigungsprozess. Alle Mitarbeiter sind verpflichtet, im Rahmen ihrer Einstellung Geheimhaltungsvereinbarungen zu unterzeichnen, und alle Konten und Zugriffsschlüssel werden bei Kündigung sofort entzogen. All Tenable One Vulnerability Management operations staff are also required to pass a third-party background check.

Wer kann die Imitationsfunktion nutzen?

Nur der Kontoadministrator sowie autorisierte leitende Mitarbeiter des Supports von Tenable dürfen die Imitationsfunktion nutzen. Für alle Konten, die Imitationen durchführen können, ist aus Sicherheitsgründen eine Zwei-Faktor-Authentifizierung erforderlich. Tenable prüft Imitationen intern. Zudem kann auch jeder Kunde Imitationen prüfen, die unter Verwendung seines Kontos durchgeführt werden. All impersonations are logged in audit logs, and all Tenable One Vulnerability Management customers can audit impersonations through the API. Tenable documents how to pull the audit logs in the following public document, https://developer.tenable.com/reference#audit-log. Hinweis: Es gibt ein automatisiertes Konto ([email protected]), das von Zeit zu Zeit in diesen Prüfprotokollen erscheinen kann.

Verlassen die Daten das Land, wenn Tenable ein technisches Problem behebt?

Tenable unternimmt alle Anstrengungen, um den Schutz von Kundendaten zu gewährleisten. Durch Zusammenarbeit mit Kunden stellen wir sicher, dass ihre Richtlinien eingehalten werden, indem Daten in der gewünschten Region verbleiben. Die Imitation eines Benutzers kann jedoch dazu führen, dass Daten den primären Speicherort verlassen. In einigen Fällen kann es sein, dass der „Follow-the-sun“-Prozess angewendet werden muss, wenn der damit verbundene Arbeitsaufwand die lokalen Geschäftszeiten überschreitet. Zudem gibt es Fälle, in denen Kunden einen Bericht per E-Mail an Tenable senden oder anderweitig gegen eigene Richtlinien verstoßen könnten, indem sie E-Mails außerhalb ihrer Region versenden.

Bei Kunden, die ein Tenable-Produkt mit FedRAMP Authorization nutzen, verbleiben diese Daten stets innerhalb der Vereinigten Staaten.

Will Tenable support staff have access to a customer's internal network?

Nein. Der gesamte Datenverkehr wird vom Scanner initiiert und ist nur nach außen gerichtet. The scanners are installed behind the customer's firewall and customers can control access of the scanners via their firewall.

What is the Tenable One Vulnerability Management Data Retention Policy?

The data retention policy for Tenable One Vulnerability Management and other Tenable-hosted products is 12 months of retention for existing customers. Bei Kunden, die eine Produkt-Subscription kündigen, werden Kundendaten ab dem Kündigungsdatum 30 Tage aufbewahrt. Tenable's data retention policy with respect to PCI scans matches then-current requirements set forth by the PCI Security Standards Council.

Wie lange werden Daten von aktiven Scans aufbewahrt?

The ability to measure progress over time is a core function of the Tenable One Vulnerability Management platform. Tenable One Vulnerability Management will automatically store customer data for 12 months to allow customers to report over a one (1) year period of time.

If a customer discontinues the Tenable One Vulnerability Management service, how long is data retained?

Sollte das Konto eines Kunden auslaufen oder gekündigt werden, bewahrt Tenable die Daten in dem Zustand, in dem sie sich zum Zeitpunkt des Ablaufs befanden, für maximal 30 Tage auf. Nach Ablauf dieser Zeit können diese Daten gelöscht und nicht mehr wiederhergestellt werden.

Wie lange werden Daten mit PCI-Bezug aufbewahrt?

Daten, die an einem Prozess zur Überprüfung der PCI-Konformität beteiligt sind, werden frühestens drei Jahre nach dem Datum der PCI-Bescheinigung gelöscht, so wie es die PCI-Vorschriften verlangen. Tenable retains this data for this time period, even if the customer chooses to delete their scans or account or terminates their Tenable One Vulnerability Management service.

How long is Tenable One Vulnerability Management usage data retained?

Um das bestmögliche Nutzererlebnis zu gewährleisten, sammelt Tenable diese Informationen so lange, wie ein Container eines Kunden aktiv bleibt. Nachdem ein Kunde den Service einstellt, werden die Daten für maximal 30 weitere Tage gespeichert.

Does Tenable One Vulnerability Management have Common Criteria certification?

Die Common Criteria-Zertifizierung kommt bei einer SaaS-Lösung im Allgemeinen nicht zur Anwendung, da sich die Häufigkeit der Updates nicht für einen Zertifizierungsprozess eignet, der sechs bis neun (6 - 9) Monate in Anspruch nimmt. Tenable hat die Common Criteria-Zertifizierung für Tenable Security Center, Nessus Manager, Nessus Agents und Log Correlation Engine (LCE) erhalten.

Erleben Sie
Tenable
in Aktion

Erfahren Sie, wie Tenable Ihrem Team die nötige Klarheit verschaffen, um das zu beheben, was wirklich zählt – mit der Geschwindigkeit von KI.