Perguntas frequentes do Tenable.io

O Tenable.io é um componente integral da Plataforma de Cyber Exposure da Tenable, que fornece informações práticas sobre os riscos de segurança de toda a sua infraestrutura, permitindo que você identifique, investigue e priorize vulnerabilidades e configurações incorretas de forma rápida e precisa em seu ambiente moderno de TI.

O Tenable.io traz clareza para a sua postura de segurança e compliance. Desenvolvido a partir da tecnologia de avaliação de vulnerabilidades do Nessus® da Tenable, o Tenable.io oferece uma abordagem inovadora e baseada em ativos, que monitora corretamente os seus recursos, além de acomodar ativos dinâmicos, como nuvem e contêineres. Para maximizar a visibilidade e os insights, o Tenable.io prioriza suas vulnerabilidades com eficiência, podendo ser completamente integrado ao seu ambiente.

Além dos recursos de gerenciamento de vulnerabilidades oferecidos no Tenable.io, a plataforma de Cyber Exposure da Tenable oferece aplicações que abordam necessidades de segurança específicas, incluindo o Tenable.io Web Application Scanning e o Tenable.io Container Security.Você pode licenciar essas aplicações individualmente; não há pré-requisitos ou exigências de compra agregada.

Para saber mais sobre o Tenable.io, acesse a página do produto Tenable.io, participe de um webinar ou entre em contato com um parceiro certificado da Tenable ou com um representante da Tenable para obter mais informações.

Registre-se para uma avaliação gratuita do Tenable.io pelo link: https://pt-br.tenable.com/try.

Você pode comprar aplicações do Tenable.io ao falar com seu parceiro local certificado pela Tenable, ao entrar em contato com seu representante da Tenable ou ao visitar pt-br.tenable.com.

Sim. Você pode licenciar aplicações da Tenable individualmente. Por exemplo, o Tenable.io Container Security e o Tenable.io Web Application Scanning podem ser licenciados avulsos, sem os recursos de gerenciamento de vulnerabilidades do Tenable.io.

O Tenable.io é licenciado por meio de uma assinatura anual e cobrado por ativo, em vez de endereço IP. Isso permite que os clientes adotem novas tecnologias, como a nuvem, sem receio de contagem dupla.

Para obter mais informações sobre precificação e licenciamento, veja a seção abaixo.

Um ativo é uma entidade que pode ser analisada. Exemplos incluem desktops, laptops, servidores, dispositivos de armazenamento, dispositivos de rede, telefones, tablets, máquinas virtuais, instâncias em nuvem e contêineres.

Para obter mais informações sobre precificação e licenciamento, veja a seção abaixo.

O Tenable.io Container Security e o Web Application Scanning são licenciados por meio de assinatura anual e precificados pela quantidade de ativos. O Tenable.io Container Security é cobrado pelo volume total de armazenamento de camadas de imagem de contêiner avaliadas pelo produto, e o Tenable.io Web Application Scanning é cobrado pelo número total de nomes de domínio totalmente qualificados (FQDN) que o produto avalia.

Para obter mais informações sobre precificação e licenciamento, veja a seção abaixo.

Sim. A Tenable fornece a primeira garantia de tempo de atividade do setor de gerenciamento de vulnerabilidades através do Acordo de Nível de Serviço (SLA) robusto do Tenable.io.Se o SLA não for cumprido, o usuário receberá créditos de serviço, da mesma forma como os usuários dos principais fornecedores de nuvem, como Amazon Web Services.

A documentação técnicas de todos os produtos da Tenable, incluindo o Tenable.io, está disponível em https://docs.tenable.com.

Por padrão, o Tenable.io é configurado com verificadores em nuvem específicos por região.Para obter mais informações, consulte a nossa documentação.

Não. Não há impacto para o Tenable.sc nem para os clientes que usam esses produtos. O Tenable.io é a nossa plataforma de Cyber Exposure baseada em nuvem, enquanto o Tenable.sc é a nossa plataforma de Cyber Exposure para clientes que preferem uma solução no local.

Sim. É possível usar as duas as soluções, e esperamos que vários clientes do Tenable.sc tenham interesse em usar o Tenable.io Web Application Scanning, o Tenable.io PCI/ASV e/ou o Tenable.io Container Security em conjunto com o Tenable.sc.

Sim. Para os clientes interessados, existem várias opções de fácil migração do Tenable.sc para o Tenable.io, com suporte completo da Tenable ou do seu parceiro certificado. Para obter mais informações, entre em contato com o seu parceiro certificado da Tenable ou com um representante da Tenable.

Gerenciamento da superfície de ataque externa (EASM) é um recurso da Tenable que fornece visibilidade de pontos cegos fora do perímetro da rede. Ele permite que você verifique seu domínio para encontrar ativos conectados à Internet anteriormente desconhecidos que podem representar alto risco para sua organização.

Sim, o Tenable.io oferece recursos de gerenciamento da superfície de ataque externa (EASM). Se você precisar de domínios, frequência e/ou metadados adicionais em seus resultados, poderá adquirir nossos complementos do Tenable.asm.

O Tenable.io Web Application Scanning oferece uma abrangente verificação de vulnerabilidades para aplicações Web modernas.Sua cobertura precisa de vulnerabilidades minimiza falsos positivos e negativos, garantindo que as equipes de segurança compreendam os verdadeiros riscos de segurança nas suas aplicações Web.

O produto oferece verificações externas seguras que garantem que as aplicações Web de produção, mesmo aquelas criadas com estruturas HTML5 e AJAX, não sejam interrompidas ou atrasadas.Quando são identificados problemas, as equipes de segurança podem visualizar um painel intuitivo que apresenta as informações necessárias para avaliar e gerenciar as vulnerabilidades.

Para obter mais informações sobre o Tenable.io Web Application Scanning, acesse a página do produto Tenable.io. Inscreva-se para uma avaliação gratuita acessando tenable.com/try-was ou entre em contato com um parceiro certificado da Tenable ou com um representante da Tenable para obter mais informações.

Não. O Tenable.io Web Application Scanning é uma solução de teste de segurança de aplicação dinâmica (DAST) que testa uma aplicação Web "externa" quando a aplicação está sendo executada em um ambiente de teste ou produção.

Sendo a única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades, o Tenable.io Container Security monitora continuamente as imagens de contêiner em busca de vulnerabilidades, malware e conformidade com as políticas corporativas. Trazendo segurança antecipada ao processo de criação de contêineres, as empresas podem obter visibilidade dos riscos de segurança ocultos presentes nos contêineres e corrigi-los antes que entrem em produção, sem desacelerar os ciclos de inovação.

Baseado na tecnologia FlawCheck, o Tenable.io Container Security armazena imagens de contêineres e as verifica conforme são criadas. Ele oferece detecção de vulnerabilidades e malware, juntamente com o monitoramento contínuo de imagens de contêineres. Ao integrar-se com os sistemas de integração e implantação contínua (CI/CD) que criam imagens de contêineres, o Tenable.io Container Security garante que todos os contêineres que entram em produção sejam seguros e estejam em conformidade com a política da empresa.

Para obter mais informações sobre o Tenable.io Container Security, acesse a página do produto Tenable.io. Inscreva-se para uma avaliação gratuita acessando tenable.com/try-container ou entre em contato com um parceiro certificado da Tenable ou com um representante da Tenable para obter mais informações.

O Gerenciamento centralizado de credenciais (CCM) permite que as credenciais sejam criadas isoladamente e, depois, aplicadas às verificações.. Historicamente, o Tenable.io vinculava credenciais a políticas de verificação. A cada vez que uma nova verificação era criada, seria preciso inserir as credenciais dos ativos visados. Se diversas verificações segmentassem os mesmos ativos, seria preciso inserir as credenciais diversas vezes. Se as credenciais mudassem, elas precisariam ser mudadas em cada verificação que visasse esses ativos.

O Gerenciamento centralizado de credenciais oferece vários benefícios:

• Permite a separação de funções entre quem cria as credenciais e quem pode usá-las em uma verificação.
• Permite que as credenciais sejam reutilizadas várias vezes sem que precisem ser reinseridas, o que é particularmente problemático quando o gerente de credenciais e o de verificações não são a mesma pessoa na organização.
• Permite que as credenciais sejam atualizadas uma só vez e tenham a atualização refletida em todas as verificações em que são utilizadas (ex.: um relacionamento um-para-muitos).

Os grupos de acesso permitem que os clientes empresariais segmentem os ativos em agrupamentos lógicos, que se alinham às estruturas organizacionais internas, para que os usuários possam gerenciar os ativos somente no seu silo exclusivo.

Os benefícios dos grupos de acesso incluem:

• Suporte administrativo granular e mais eficiente, e compartimentalização de ativos para ambientes monitorados/avaliados pela AWS.
• Suporte administrativo granular e mais eficiente, e compartimentalização de ativos pelas empresas com base em regras predefinidas usando FQDNs e endereços IP (ex.: por unidade de negócios).
• Simplificação da administração com base na capacidade de importar ativos em lote e compartimentalizá-los manualmente usando uma API publicada.
• Administração simplificada de grupos de acesso pelo uso de uma interface de usuário intuitiva e fácil de usar, baseada em uma estrutura de IU moderna.

O licenciamento de ativos elásticos faz a parceria entre a Tenable e os clientes para proteger com economia as redes dos clientes. Isso inclui os seguintes recursos:

• Ativos, não IPs: O Tenable.io analisa vários atributos, não apenas endereços IP, para identificar um ativo. Um algoritmo proprietário combina ativos recém-descobertos com ativos já descobertos para eliminar contagens duplas e garantir relatórios de vulnerabilidade mais precisos.
• Licenciamento equilibrado, não integral: O Tenable.io aloca licenças somente a ativos que tenham sido vistos nos últimos 90 dias. Ele recupera licenças automaticamente para ativos que foram descomissionados, verificados inadvertidamente ou que fiquem ativos com pouca frequência. O Tenable.io retém os dados de vulnerabilidades e de configuração desses ativos para que não haja redução na recuperação automatizada de licenças.
• Adequação, não bloqueio: O Tenable.io permite que os clientes monitorem e ajustem o consumo das licenças, e façam a adequação quando necessário. Ele não bloqueia a funcionalidade automaticamente se a licença é excedida temporariamente.

Os principais benefícios são:

• Os clientes compram a quantidade certa de licenças com base na quantidade de ativos, e não na contagem inflada de IPs.
• Os clientes evitam os projetos demorados e muitas vezes imprecisos que são necessários para recuperar licenças de ativos descomissionados e/ou inadvertidamente verificados.
• As métricas de gerenciamento de vulnerabilidades não são corrompidas por contagens duplas ou triplas de vulnerabilidades de ativos que têm vários endereços IP.

Sim, os clientes podem exceder temporariamente o número licenciado de ativos. Claro, os clientes podem fazer uma adequação quando a contagem das licenças continua sendo excedida.

A interface de usuário do Tenable.io exibe o número licenciado de ativos e o uso real da licença.

Um ativo é uma entidade que pode ser analisada. Exemplos incluem desktops, laptops, servidores, dispositivos de armazenamento, dispositivos de rede, telefones, tablets, máquinas virtuais, hipervisores e contêineres.

Quando descobre um ativo pela primeira vez, o Tenable.io reúne vários atributos de identificação, que podem incluir um UUID do BIOS, o endereço MAC do sistema, o nome NetBIOS, o FQDN e/ou outros atributos que podem ser usados para identificar um ativo de forma confiável. Além disso, a verificação autenticada e os agentes do Nessus atribuem um UUID da Tenable para o dispositivo. Quando o Tenable.io verifica um ativo posteriormente, ele o compara com os ativos que foram descobertos antes. Se o ativo recém-descoberto não corresponder a um ativo descoberto anteriormente, ele será adicionado ao inventário de ativos do Tenable.io.

IPs costumam ser uma propriedade de um ativo, e muitos ativos têm vários IPs atribuídos (como dispositivos DHCP, sistemas com interfaces com e sem fio, etc.).

Com frequência, os ativos têm várias placas de interface de rede, permitindo que sejam acessadas por diversas redes. Como exemplo, um servidor da web pode estar simultaneamente em uma rede de produção e em uma rede administrativa; ou ainda, um laptop costuma ter uma interface de rede com fio e outra sem fio. Além disso, os laptops costumam obter novos IPs conforme mudam de um lugar para o outro. Se forem verificados com um IP e depois com outro, eles serão contados duas vezes.

O Tenable.io oferece suporte para verificações de descoberta ilimitadas usando sensores ativos e passivos. Os clientes podem usar essas verificações para fazer um inventário abrangente de todos os seus ativos e determinar o tamanho apropriado da licença.

O Tenable.io tem suporte a diversas metodologias para evitar contagens duplas ou triplas do mesmo ativo ao calcular o tamanho apropriado da licença. Com ativos tradicionais, o Tenable.io usa um algoritmo proprietário combina ativos recém-descobertos com ativos já descobertos para eliminar duplicidades e garantir relatórios de vulnerabilidade mais precisos. Com os contêineres do Docker, o Tenable.io Container Security identifica as camadas do Docker usadas várias vezes nos seus registros de contêiner e as remove no cálculo de licenciamento. Em outras palavras, quando uma camada do Docker é usada em várias tags, imagens ou registros, essa camada é contada apenas uma vez no cálculo do custo da licença do produto.

Em última instância, os dados do cliente que o Tenable.io gerencia têm um único objetivo: oferecer uma experiência excepcional à medida que os clientes gerenciam ativos e vulnerabilidades para proteger seus ambientes. Para esse fim, o Tenable.io gerencia três categorias de dados do cliente:

1. Dados de ativos e vulnerabilidades
2. Dados de desempenho ambiental
3. Dados de uso do cliente

O Tenable.io faz o inventário dos ativos nas redes dos clientes e gerencia atributos que podem incluir endereço IP, endereço MAC, nome NetBIOS, sistema operacional, versão e portas ativas, entre outros.

O Tenable.io coleta dados detalhados, atuais e históricos de vulnerabilidades e configurações, que podem incluir criticidade, potencial de exploração, status de remediação e atividade de rede. Além disso, se os clientes aprimorarem os dados do Tenable.io com integrações a produtos de terceiros, como sistemas de gerenciamento de ativos e sistemas de gerenciamento de patches, o Tenable.io poderá gerenciar os dados desses produtos.

A Tenable anonimiza e analisa os dados dos clientes com o objetivo de determinar tendências no setor, tendências no crescimento e na mitigação de vulnerabilidades e tendências em eventos de segurança. Por exemplo, a correlação de presença de uma vulnerabilidade com a sua exploração traz grandes benefícios para os clientes da Tenable. Outros benefícios incluem análise de dados avançada e correlação aprimorada dos dados dos clientes com eventos e tendências do setor e de segurança. A coleta e a análise desses dados também permitem que os clientes se comparem a outros clientes em geral ou do setor. A Tenable disponibiliza um método para que os clientes recusem, se desejado.

Para manter o desempenho e a disponibilidade do Tenable.io e oferecer a melhor experiência de usuário possível, o Tenable.io coleta do cliente informações específicas de status e integridade da aplicação. Isso inclui a frequência com que o verificador se comunica com a plataforma, o número de ativos verificados e as versões do software implantadas, bem como outras telemetrias gerais para identificar e abordar possíveis problemas o mais rápido possível.

A Tenable usa dados de status e integridade para detectar e abordar possíveis problemas em tempo hábil, mantendo, assim, os compromissos do SLA. Portanto, os clientes não podem recusar a coleta desses dados.

Para avaliar e melhorar a experiência do cliente, a Tenable coleta dados de uso dos usuários anonimizados. Esses dados incluem acesso a páginas, cliques e outras atividades que dão ao usuário a chance de simplificar e melhorar sua experiência.

Sim. Um cliente pode solicitar que o seu contêiner não faça mais parte do processo de coleta.

A Tenable usa datacenters e serviços da Amazon Web Services (AWS) para disponibilizar e entregar o Tenable.io aos clientes. Por padrão, a Tenable escolhe criar um contêiner de cliente na região mais adequada para garantir a melhor experiência possível para esse cliente. As localidades atuais são:

• Leste dos EUA
• Oeste dos EUA
• Centro dos EUA
• Londres
• Frankfurt
• Sydney
• Singapura
• Canadá
• Japão
• Brasil
• Índia

Como exceção, se um cliente solicitar uma região específica da AWS antes da implantação, a Tenable ativará o cliente nessa região.

Como todos os dados do cliente são armazenados em serviços regionais e seguros da AWS, as certificações de proteção de dados da UE que a AWS mantém se aplicam à nuvem da Tenable. Há mais informações disponíveis em https://aws.amazon.com/compliance/eu-data-protection/.

Sim. No entanto, o prazo de localidades adicionais ainda não está determinado.

Existem situações em que os dados podem ser armazenados em regiões diferentes da região inicial da AWS.

• Os cliente do Tenable.io podem executar verificações externas usando os conjuntos públicos e compartilhados disponíveis em várias regiões da AWS. A escolha de um verificador próximo ao alvo costuma resultar em verificações mais rápidas. Observe que, quando um cliente usar um verificador em nuvem em uma localidade diferente da que hospeda a sua conta, os dados de verificação existirão temporariamente fora da localidade de hospedagem da conta, mas não serão armazenados. Por exemplo, se um cliente com uma conta hospedada na UE/Alemanha usar um verificador dos EUA/North Virginia, os dados de verificação passarão temporariamente pelos EUA antes de serem armazenados em Frankfurt. Se a localidade dos dados for um problema, os clientes só deverão executar verificações externas com verificadores em nuvem da sua própria região. Isso pode ser selecionado facilmente a cada verificação.
• Se um cliente usar o Tenable.sc, seus dados de verificação não serão armazenados na nuvem, mesmo se o Tenable.io for utilizado para verificar parte da infraestrutura como um todo.
• Os dados de verificação do Nessus Agent serão armazenados no Tenable.io quando os clientes executarem verificações a partir do Tenable.io. Se os clientes executarem verificações com o Nessus Manager, os dados não serão armazenados no Tenable.io, independentemente de onde os agentes estiverem implantados.

Sim. Os dados ficam armazenados no país escolhido no momento da criação da conta.

A Tenable aplica várias medidas de segurança para que o Tenable.io ofereça segurança e privacidade de dados.

A Tenable segue diversas práticas para garantir a segurança do software da aplicação Tenable.io.

Os testes são realizados por três grupos separados da Tenable:

• Os testes de segurança são realizados pela equipe de desenvolvimento;
• A equipe de segurança de TI da Tenable realiza testes de vulnerabilidade no Tenable.io antes e depois da implantação (os testes pós-implantação não são programados e não há aviso prévio para as outras equipes); e
• A Tenable oferece uma análise adicional de segurança do código-fonte e das alterações antes da implantação.

Todas as implantações de software são automatizadas e executadas somente através do sistema de criação, que é autenticado por meio de credenciais LDAP corporativas ou pelo Ansible, que é autenticado com o uso de chaves SSH privadas. Todas as implantações são registradas e rastreadas, sendo a notificação da ação de implantação (planejada ou não planejada) enviada automaticamente para a equipe de desenvolvimento da Tenable.

Todas as alterações no código-fonte são rastreadas e vinculadas à versão na qual a alteração é instalada. Esse rastreamento garante um histórico completo de cada alteração: quem fez, quando foi feita e, por fim, quando foi implantada na produção.

Cada implantação é aprovada por, no mínimo, dois membros da equipe da Tenable. Todas as alterações e implantações são transmitidas a todos os membros da equipe. O software é implantado primeiro em ambientes de teste e, em seguida, implantado de forma sequencial em instâncias de produção ao longo de um período de tempo.

• Garantir o acesso ao Tenable.io de forma segura e autorizada é uma alta prioridade para as nossas equipes de desenvolvimento e operações. O Tenable.io oferece vários mecanismos para manter os dados do cliente seguros e controlar o acesso. Oferecemos proteção contra ataques de força bruta bloqueando as contas após 5 (cinco) tentativas de login malsucedidas.
• Para proteger contra interceptações de dados, toda a comunicação com a plataforma é criptografada via SSL (TLS-1.2). Além disso, as negociações de SSL mais antigas e inseguras são recusadas para garantir o nível mais elevado de proteção.
• Para proteger o acesso à plataforma, os clientes podem configurar a autenticação de dois fatores por meio dos serviços prestados pela Twillo.
• Os clientes podem integrar o Tenable.io com sua implantação SAML. O Tenable.io é compatível com requisições iniciadas por IdP e SP. Por fim, os usuários podem redefinir a senha diretamente na aplicação usando o seu endereço de email.
• Os clientes costumam criar conexões de clientes com o Tenable.io usando nossas APIs ou SDKs documentados. O acesso pode ser concedido e controlado através da criação de chaves de API específicas. É possível usar diferentes chaves para diferentes integrações, sem a necessidade de compartilhar as credenciais do usuário.

A Tenable aplica várias medidas de segurança para que o Tenable.io ofereça segurança e privacidade de dados.

Todos os dados em todos os estados na plataforma do Tenable.io são criptografados com pelo menos um nível de criptografia, usando AES-256 ou superior.

Em repouso — Os dados são armazenados em mídia criptografada usando pelo menos um nível de criptografia AES-256.

Algumas classes de dados incluem um segundo nível de criptografia por arquivo.

Em transporte — Os dados são criptografados no transporte usando o TLS v1.2 com uma chave de 4096 bits (inclui transportes internos).

Comunicação do sensor do Tenable.io — O tráfego dos sensores para a plataforma é sempre iniciado pelo sensor e é de somente saída pela porta 443. O tráfego é criptografado por comunicação SSL, usando o TLS 1.2 com uma chave de 4096 bits. Isso elimina a necessidade de alterações de firewall e permite que o cliente controle as conexões por meio de regras de firewall.

• Autenticação do verificador para a plataforma
• A plataforma gera uma chave aleatória de 256 bits para cada verificador conectado ao contêiner e a transmite para o verificador durante o processo de vinculação
• Os verificadores usam essa chave para autenticar de volta ao controlador ao solicitar trabalhos, atualizações de plug-in e atualizações do binário do verificador
• Comunicação de trabalho do verificador para a plataforma
• Os verificadores contatam a plataforma a cada 30 segundos
• Se há um trabalho, a plataforma gera uma chave aleatória de 128 bits
• O verificador solicita a política a partir da plataforma
• O controlador usa a chave para criptografar a política, que inclui as credenciais a serem usadas durante a verificação

Em backups/replicação — Instantâneos de volume e réplicas de dados são armazenados com o mesmo nível de criptografia da respectiva fonte, usando AES-256 ou superior. Todas as replicações são feitas pelo provedor. A Tenable não faz backup de dados em mídias físicas externas ou sistemas físicos.

Em índices — Os dados de índices são armazenados em mídia criptografada usando pelo menos um nível de criptografia AES-256.

Credenciais de verificação — São armazenadas dentro de uma política que é criptografada na chave global AES-256 dos contêineres. Quando as verificações são iniciadas, a política é criptografada com uma chave aleatória de uso único de 128 bits e transportada usando o TLS v1.2 com uma chave de 4096 bits.

Gerenciamento de chaves — As chaves são armazenadas centralmente, criptografadas com uma chave baseada em função, e o acesso é limitado. Todos os dados criptografados armazenados podem ser rotacionados para uma nova chave. As chaves de criptografia de arquivos de dados são diferentes em cada região, pois são as chaves em nível de disco. O compartilhamento de chaves é proibido e os procedimentos de gerenciamento de chaves são revisados anualmente.

O gerenciamento de chaves não pode ser configurado pelo cliente. A Tenable gerencia as chaves e o rodízio das chaves.

O Tenable Network Security age de acordo com o Escudo de Proteção da Privacidade UE-EUA e o Escudo de Proteção da Privacidade Suíça-EUA, conforme estabelecido pelo Departamento de Comércio dos EUA, que trata da coleta, do uso e da retenção de informações pessoais transferidas da União Europeia e da Suíça para os Estados Unidos, respectivamente. O Tenable Network Security certificou junto ao Departamento de Comércio que segue os Princípios do Escudo de Proteção da Privacidade. Se houver algum conflito entre os termos desta Política de Privacidade e os Princípios do Escudo de Proteção da Privacidade, os últimos prevalecerão. Para saber mais sobre o programa do Escudo de Proteção de Privacidade e visualizar nossa certificação, acesse https://www.privacyshield.gov/.

A Tenable concluiu a autoavaliação da Cloud Security Alliance (CSA) STAR. As respostas do Tenable ao Consensus Assessment Initiative Questionnaire (CAIQ) dizem respeito a um conjunto de mais de 140 perguntas relacionadas à segurança que um possível cliente, um cliente ou um parceiro do Tenable.io possa solicitar. O CSA STAR é o programa de avaliação de segurança em nuvem mais potente do setor. O STAR (Security Trust & Assurance Registry) abrange os principais princípios de transparência, auditoria rigorosa e harmonização de padrões, incluindo indicações de práticas recomendadas e validação da postura de segurança das ofertas em nuvem.

A plataforma do Tenable.io faz todos os esforços para não coletar tipos de dados PII em um formato que exija outras certificações ou medidas de segurança. Isso inclui número de cartões de crédito, número de Previdência Social e outras verificações personalizadas. Sempre que os plug-ins da Tenable capturam sequências de caracteres que podem conter informações confidenciais ou pessoais, a plataforma oculta automaticamente pelo menos 50% dos caracteres para proteger dados que possam ser confidenciais.

Os dados de cada um dos clientes são marcados com um "ID de contêiner" que corresponde à assinatura específica de um cliente. Esse ID de contêiner garante que o acesso aos dados de um cliente seja limitado a apenas esse cliente.

• As verificações diárias de vulnerabilidades são executadas pela Tenable.
• Os firewalls e a segmentação de rede controlam o acesso.
• Ferramentas e processos automatizados monitoram a plataforma do Tenable.io quanto ao tempo de atividade, desempenho e detecção de comportamentos anômalos.
• Os logs são monitorados de forma automatizada e ininterrupta 24 horas por dia, estando a equipe da Tenable disponível continuamente para responder a eventos.

Os sensores que se conectam à plataforma desempenham um papel importante na segurança de um cliente, coletando informações de vulnerabilidades e ativos. Proteger esses dados e garantir a segurança das vias de comunicação é uma função central do Tenable.io. Atualmente, o Tenable.io tem suporte a vários sensores: verificadores de vulnerabilidades Nessus, verificadores passivos e Nessus Agents.

Esses sensores se conectam à plataforma do Tenable.io depois de se autenticarem e se vincularem de forma criptográfica ao Tenable.io. Após a vinculação, o Tenable.io gerencia todas as atualizações (plug-ins, códigos, etc.) para garantir que os sensores estejam sempre atualizados.

O tráfego dos sensores para a plataforma é sempre iniciado pelo sensor e é de somente saída pela porta 443. O tráfego é criptografado por comunicação SSL, usando o TLS 1.2 com uma chave de 4096 bits. Isso elimina a necessidade de alterações de firewall e permite que o cliente controle as conexões por meio de regras de firewall.

• Autenticação do verificador para a plataforma
  • A plataforma gera uma chave aleatória de 256 bits para cada verificador conectado ao contêiner e a transmite para o verificador durante o processo de vinculação
  • Os verificadores usam essa chave para autenticar de volta ao controlador ao solicitar trabalhos, atualizações de plug-in e atualizações do binário do verificador
• Comunicação de trabalho do verificador para a plataforma
  • Os verificadores contatam a plataforma a cada 30 segundos
  • Se há um trabalho, a plataforma gera uma chave aleatória de 128 bits
  • O verificador solicita a política a partir da plataforma
  • O controlador usa a chave para criptografar a política, que inclui as credenciais a serem usadas durante a verificação

Os serviços do Tenable.io tentam proporcionar um tempo de atividade de 99,95% ou mais, e proporcionar 100% de tempo de atividade na maioria dos serviços. A Tenable publicou um SLA que descreve o nosso compromisso em garantir que a plataforma esteja disponível para todos os usuários e como creditaremos os clientes em casos de inatividade não planejada.

O status "ativo" é determinado simplesmente por testes públicos de disponibilidade hospedados por terceiros que testam regularmente a disponibilidade de todos os serviços. O tempo de atividade para serviços (tanto o atual quanto o histórico) está disponível em https://status.tenable.com

O Tenable.io faz amplo uso da plataforma da AWS e de outras tecnologias de primeira linha para garantir que os nossos clientes recebam o melhor serviço e qualidade geral possível. Segue abaixo uma lista parcial das soluções implantadas que beneficiam os clientes:

• Clusters ElasticSearch – clusters Elasticsearch são altamente disponíveis e podem se recuperar da perda de nós mestres, nós de lb e pelo menos um nó de dados sem afetar a disponibilidade do serviço.
• Armazenamento de bloqueio elástico — usado para tirar instantâneos e armazenar 8 (oito) cópias
• Ecossistema Kafka — Kafka e Zookeeper replicam dados no cluster para proporcionar tolerância a falhas, dada a falha catastrófica de algum nó
• Instâncias Postgres – gerenciam a estrutura de microsserviços de back-end para manter 30 dias de instantâneos

Os dados replicados são armazenados na mesma região.

Desastres são eventos que resultam na perda irrecuperável de dados ou equipamentos em uma ou mais regiões.

Os procedimentos de recuperação de desastres do Tenable.io têm vários níveis e são projetados para reagir a situações que podem ocorrer em qualquer lugar, no período entre uma vez a cada cinco anos e uma vez a cada 50 anos. Dependendo do escopo do desastre, os procedimentos de recuperação variam de 60 minutos a 24 horas.

Os clientes controlam quem tem acesso aos seus dados, inclusive atribuindo funções e permissões aos seus funcionários e concedendo acesso temporário à equipe de suporte da Tenable.

Os administradores de clientes do Tenable.io podem atribuir funções de usuário (básico, padrão, administrador e desativado) para gerenciar o acesso a verificações, políticas, verificadores, agentes e listas de ativos.

Sim. Com a permissão do cliente, membros do terceiro nível da equipe de suporte global da Tenable podem personificar a conta do usuário, permitindo que executem operações no Tenable.io como outro usuário sem a necessidade obter a senha desse usuário. A equipe de suporte da Tenable ou o cliente podem fazer a solicitação de ativação desse recurso. A equipe de suporte da Tenable solicita que o cliente "aprove" a personificação por meio de uma nota em um caso de suporte ativo. A permissão deve ser concedida para cada problema registrado com o suporte. Em momento algum a Tenable considera um "OK" genérico para personificação. A personificação do usuário pode resultar na saída dos dados da localidade primária.

A equipe completa de operações do Tenable.io é obrigada a passar por uma verificação de antecedentes feita por terceiros. Além disso, todos os membros sênior da equipe têm, ao menos, cinco anos de experiência em empresas de software de segurança baseadas em SaaS e muitos têm certificações de segurança, como ser um CISSP.

A Tenable definiu um processo de contratação e rescisão. É necessário que todos os funcionários assinem contratos de confidencialidade como parte da contratação, e todas as contas e chaves de acesso são imediatamente revogadas após a rescisão.

Somente os membros da equipe de suporte de nível três podem utilizar a função de personificação.

Sim.

A Tenable faz todos os esforços para garantir que os dados dos clientes sejam protegidos, e garantimos que suas políticas sejam seguidas ao trabalhar em conjunto com eles para assegurar que os dados permaneçam na devida região. No entanto, existem instâncias em que os clientes podem enviar um relatório por email para a Tenable ou, ainda, violar sua própria política enviando emails para além da sua região.

Não. Todo o tráfego é iniciado pelo verificador e é somente de saída. Os verificadores são instalados por trás do firewall do cliente e podem controlar o acesso dos verificadores por meio do seu firewall.

Os períodos de retenção de dados são designados para atender aos diversos requisitos regulamentares e dos clientes.

A capacidade de calcular o progresso ao longo do tempo é uma função central da plataforma do Tenable.io. O Tenable.io armazenará automaticamente os dados dos clientes por 15 meses para permitir que gerem relatórios relativos ao período de um ano.

Se os clientes precisarem de mais de 15 meses de armazenamento, o Tenable.io disponibilizará vários métodos para download dos dados, e os clientes poderão armazená-los como acharem melhor.

Se a conta de um cliente expirar ou for encerrada, a Tenable reterá os dados por até 180 dias, na forma como eram no momento da expiração. Depois desse período, esses dados poderão ser excluídos e não poderão ser recuperados.

Os dados envolvidos em um processo de validação de conformidade com o PCI não serão excluídos até pelo menos três anos após a data do atestado do PCI, conforme exigido pelos regulamentos do PCI. A Tenable retém os dados desse período mesmo que o cliente opte por excluir suas verificações ou sua conta, ou encerre o serviço do Tenable.io.

Para garantir a melhor experiência possível, coletaremos essas informações enquanto o contêiner do cliente permanecer ativo. Quando o cliente descontinuar o serviço, os dados serão mantidos por até 180 dias.

A certificação de critérios comuns não costuma ser aplicada a uma solução SaaS, pois a frequência de atualizações não vale um processo de certificação que leva de 6 a 9 meses para ser concluído.

Como exceção, se um cliente solicitar uma região geográfica específica antes da implantação, a Tenable ativará o cliente nessa região. As localidades atuais são:

• Leste dos
• Londres
• Frankfurt
• Sydney
• Singapura
• Canadá
• Japão
• Brasil
• Índia

Não. No momento, a Tenable não replica dados de uma localidade para outra.

PCI ASV refere-se ao requisito 11.2.2 dos procedimentos de avaliação de segurança e requisitos do Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI), que exige verificações de vulnerabilidade externas trimestrais, que devem ser realizadas (ou atestadas) por um Fornecedor de Verificação Aprovado (ASV). Um ASV é uma organização com serviços e ferramentas ("Solução de verificação do ASV") para validar a adesão à exigência de verificação externa do requisito 11.2.2 do PCI DSS.

O PCI DSS exige a verificação de vulnerabilidades de todos os componentes do sistema que podem ser acessados externamente (voltado à internet) pertencentes ou utilizados pelo cliente de verificação que fazem parte do ambiente de dados do titular do cartão, bem como qualquer componente do sistema voltado externamente que ofereça um caminho para o ambiente de dados do titular do cartão.

As principais fases da verificação do ASV consistem em:

• Definição do escopo: realizado pelo cliente para incluir todos os componentes do sistema voltados à internet que fazem parte do ambiente de dados do titular do cartão.
• Verificação: uso do modelo de verificação externa trimestral PCI do Tenable.io.
• Relatórios/correção: os resultados dos relatórios intermediários são corrigidos.
• Resolução de controvérsias: o cliente e o ASV trabalham juntos para documentar e resolver resultados de verificação controversos.
• Nova verificação (conforme a necessidade): até que seja gerada uma verificação aprovada que resolva controvérsias e exceções.
• Relatório final: enviado e entregue de forma segura.

As verificações de vulnerabilidade do ASV são necessárias, no mínimo, trimestralmente e após qualquer alteração significativa na rede, como instalação de novos componentes do sistema, alterações na topologia da rede, modificações nas regras do firewall ou atualizações do produto.

O ASV executa especificamente apenas as verificações de vulnerabilidades externas descritas no PCI DSS 11.2. Um QSA se refere a uma empresa avaliadora qualificada e treinada pelo Conselho de Padrões de Segurança (SSC) do PCI para realizar avaliações gerais no local do PCI DSS.

Sim. A Tenable é qualificada como Fornecedor de Verificação Aprovado (ASV) para validar verificações externas de vulnerabilidades de ambientes voltados à internet (usados para armazenar, processar ou transmitir dados do titular do cartão) de comerciantes e provedores de serviços. O processo de qualificação do ASV consiste em três partes: a primeira envolve a qualificação do Tenable Network Security como fornecedor. A segunda se refere à qualificação dos funcionários da Tenable responsáveis pelos serviços remotos de verificação do PCI. A terceira consiste nos testes de segurança da solução de verificação remota da Tenable (Tenable.io e Tenable.io PCI ASV).

Os ASVs podem executar as verificações. No entanto, a Tenable depende dos clientes para conduzirem suas próprias verificações usando o modelo de verificação externa trimestral do PCI. Esse modelo impede que os clientes mudem as definições de configuração, como a desativação de verificações de vulnerabilidades, a atribuição de níveis de gravidade, a alteração de parâmetros de verificação, etc. Os clientes usam os verificadores do Tenable.io baseados em nuvem para verificar seus ambientes voltados à internet e, em seguida, enviam para a Tenable os relatórios de verificação em conformidade para confirmação. A Tenable atesta os relatórios de verificação, e depois o cliente os envia para seus compradores ou marcas de pagamento, conforme indicação das marcas de pagamento.

Os recursos novos ou aprimorados incluem:

• Uma interface de usuário unificada para os usuários verificarem/gerenciarem/enviarem/completarem o processo do confirmação do ASV.
• Capacidade para mais de uma pessoa registrar controvérsias e enviar para a certificação do ASV.
• Capacidade de aplicar as mesmas controvérsias/exceções a vários IPs. (Capacidade de criar controvérsias baseadas em plug-ins, e não por ativo)
• Capacidade de marcar um IP como fora de escopo.
• Capacidade de anotar controles de compensação.

Os dados de vulnerabilidades não são dados da DPD 95/46/EC da UE, assim, todos os requisitos de residência de dados devem ser regidos pelo cliente, e não de forma regulamentar. As organizações governamentais estaduais da UE podem ter seus próprios requisitos de residência de dados, mas elas precisariam ser avaliadas caso a caso e, provavelmente, não constituem um problema para as verificações do PCI-ASV.

Sim, o Tenable.io inclui uma licença PCI ASV para um único e exclusivo ativo do PCI. Algumas organizações têm tido grandes dificuldades em limitar os ativos no escopo do PCI, geralmente terceirizando as funções de processamento de pagamentos. Como se pode dizer que esses clientes "não estão na área do PCI", a Tenable simplificou suas aquisições e seu licenciamento. O cliente pode mudar seu ativo a cada 90 dias.

Para clientes com mais de um único ativo de PCI, a solução PCI ASV do Tenable.io é licenciada como um complemento das assinaturas do Tenable.io.

O número de hosts voltados para a internet que estão em um caminho ou que oferecem um caminho para o ambiente de dados do titular do cartão (CDE) de uma entidade pode mudar com frequência, gerando, assim, a complexidade do licenciamento. A Tenable optou por usar uma abordagem de licenciamento mais simples.

Os clientes podem enviar um número ilimitado de atestados trimestrais.

Sim. Um cliente de avaliação pode usar o modelo PCI Quarterly External Scan para verificar ativos e revisar os resultados. Contudo, ele não pode enviar relatórios de verificação para confirmação.

O novo recurso será ativado automaticamente em 24 de julho de 2017 para que os clientes possam usá-lo na próxima verificação do PCI ASV. Os clientes existentes não precisarão licenciar o novo recurso PCI ASV por, no mínimo, um ano.

Os clientes do Tenable.sc que já licenciaram a verificação externa/PCI começarão a usar o PCI ASV do Tenable.io depois que estiver disponível. Na renovação, esses clientes podem simplesmente usar os SKUs existentes. No entanto, pode ser vantajoso licenciar o PCI ASV do Tenable.io.