Tenable Vulnerability Management FAQ

Vulnerability Management는 공격을 예측하고 중요 취약성에 빠르게 대응하기 위해 전체 네트워크 가시성을 제공하는 위험 기반 취약성 관리 솔루션입니다. 지속적이고 상시 작동하는 검색 및 평가를 통해 네트워크의 모든 자산과 해당 자산의 숨은 취약성을 찾는 데 필요한 가시성을 제공합니다. 우선 순위 지정, 위협 인텔리전스 및 실시간 보고 기능을 기본 제공하여 위험을 인식하고 공격 경로를 선제적으로 차단할 수 있습니다. 업계를 선도하는 Tenable Nessus 기술로 구축되고 클라우드에서 관리하므로 네트워크의 자산 및 취약성에 대한 완벽한 가시성을 확보하여 위험을 빠르고 정확하게 이해하고 먼저 수정해야 할 취약성을 파악할 수 있습니다.

Tenable Vulnerability Management는 Tenable의 위험 노출 관리 플랫폼 Tenable One의 핵심적 구성 요소입니다. Tenable One은 Tenable Vulnerability Management를 기반으로 구축했으며 클라우드 인스턴스, 웹 애플리케이션, Active Directory(AD) 등을 포함하여 전체 인프라의 보안 위험에 대한 실행 가능한 통찰을 제공하며 모바일 장치, 가상 컴퓨터 및 컨테이너와 같은 매우 동적인 자산에 대한 통찰도 제공합니다. 사이버 위험 관리를 더욱 향상하기 위해 공격 표면 시각화, 자산 중요도 등급, 위험 기반 노출 점수, 유사한 조직 벤치마킹 및 시간에 걸쳐 위험 감소를 추적하는 기능과 같은 추가적 우선 순위 메트릭 및 기능도 사용할 수 있습니다.

Tenable Vulnerability Management에 대해 자세히 알아보려면 Tenable Vulnerability Management 제품 페이지를 방문하거나 예정된 웨비나에 참가하거나 Tenable 공인 파트너 또는 Tenable 담당자에게 문의하십시오.

Tenable Vulnerability Management의 무료 평가판에 등록하려면 https://www.tenable.com/try를 방문하십시오.

Tenable Vulnerability Management 애플리케이션을 구입하려면 지역의 Tenable 공인 파트너 또는 Tenable 담당자에게 문의하거나 tenable.com을 방문하십시오.

예.Tenable 애플리케이션을 개별적으로 라이선스할 수 있습니다. 예를 들어 Tenable Web App Scanning은 Tenable Vulnerability Management의 취약성 관리 기능 없이 단독으로 라이선스를 구입할 수 있습니다.

Tenable Vulnerability Management는 연간 구독으로 라이선스하며 IP가 아닌 자산의 수로 가격을 책정합니다. 따라서 고객은 중복 계산에 대한 걱정 없이 클라우드와 같은 새로운 기술을 수용할 수 있습니다.

가격 책정 및 라이선싱에 대한 자세한 내용은 아래 섹션을 참조하십시오.

자산에는 다음이 포함됩니다.

• 네트워크에 연결되고 운영 체제가 있는 물리적 또는 가상 장치
• FQDN이 있는 웹 애플리케이션
• 활성(종료되지 않은) 클라우드 리소스

예제에는 데스크톱, 노트북, 서버, 스토리지 장치, 네트워크 장치, 전화, 태블릿, 가상 머신, 클라우드 인스턴스 및 컨테이너 등이 포함됩니다.

Tenable Web App Scanning은 연간 구독으로 라이선스하며 자산 수로 가격을 책정합니다. Tenable Web App Scanning은 제품에서 평가하는 정규화된 도메인 이름(FQDN)의 합계로 가격을 책정합니다.

가격 책정 및 라이선싱에 대한 자세한 내용은 아래 섹션을 참조하십시오.

예.Tenable은 취약성 관리 솔루션 업계 최초로 Tenable Vulnerability Management에 대해 강력한 서비스 수준 계약(SLA)을 통한 작동 시간 보장을 제공합니다. Amazon Web Services(AWS)와 같은 선도적 클라우드 공급업체처럼 SLA를 충족하지 못하는 경우 서비스 크레딧을 제공합니다.

Tenable Vulnerability Management를 포함한 모든 Tenable 제품에 대한 기술 설명서는 https://docs.tenable.com에서 찾을 수 있습니다.

예.두 개 솔루션 모두를 사용할 수 있습니다. 고객은 Tenable Security Center 및 Tenable Vulnerability Management 모두를 사용하는 하이브리드 취약성 관리 배포를 선택할 수 있습니다. Tenable Vulnerability Management PCI/ASV 또는 다른 Tenable Vulnerability Management 애플리케이션에 관심이 있는 고객은 Tenable Security Center 인스턴스와 함께 하이브리드 배포를 선택할 수도 있습니다.

예.관심이 있는 고객에게는 Tenable 또는 공인 파트너의 전폭적 지원과 함께 Tenable Security Center에서 Tenable Vulnerability Management로 원활하게 마이그레이션하는 다양한 옵션이 있습니다. 자세한 정보는 Tenable 공인 파트너 또는 Tenable 담당자에게 문의하십시오.

외부 공격 표면 관리(EASM)는 Tenable에서 제공하는 기능으로, 네트워크 경계 외부의 사각지대에 대한 가시성을 제공합니다. 이 기능을 통해 도메인을 스캔하여 조직에 높은 위험을 가져올 수 있는 이전에 알려지지 않은 인터넷 연결 자산을 찾을 수 있습니다.

예. Tenable Vulnerability Management는 외부 공격 표면 관리(EASM) 기능을 제공합니다. 추가적 도메인, 주기 및/또는 메타데이터가 필요한 경우, Tenable Attack Surface Management 애드온을 추가할 수 있습니다.

Tenable Web App Scanning은 동적 애플리케이션 보안 테스트(DAST) 애플리케이션입니다. DAST는 프런트엔드를 통해 실행 중인 웹 애플리케이션을 크롤링하여 테스트용으로 모든 페이지, 링크 및 양식이 포함된 사이트 맵을 만듭니다.DAST에서 사이트 맵을 만들면 프론트엔드를 통하여 사이트에 조사하여 애플리케이션 사용자 지정 코드에 취약성 또는 애플리케이션의 큰 부분을 차지하는 타사 구성 요소에 알려진 취약성을 식별합니다

Tenable Web App Scanning에 대한 자세한 정보는 Tenable Web App Scanning 제품 페이지를 방문하십시오. tenable.com/try-was를 방문하여 무료 평가에 등록하거나 해당 Tenable 인증 파트너 또는 Tenable 담당자에게 자세한 내용을 문의하시기 바랍니다.

최고 Tenable Web App Scanning은 애플리케이션이 테스트 또는 프로덕션 환경에서 실행 중일 때 "외부에서" 웹 애플리케이션을 테스트하는 동적 애플리케이션 보안 테스트(DAST) 솔루션입니다.

Elastic Asset Licensing 방식의 주요 이점:

• 고객은 부풀려진 IP 수가 아닌 자산 수량에 따라 적절한 양의 라이선스를 구입합니다.
• 고객은 서비스 해제되었거나 의도치 않게 스캔된 자산에서 라이선스를 회수하는 데 필요한 시간이 오래 걸리고 종종 부정확한 프로젝트를 피할 수 있습니다.
• 취약성 관리 메트릭은 IP 주소가 여러 개인 자산에 대한 이중 및 삼중 계산 취약성에 의해 손상되지 않습니다.

Elastic Asset Licensing 방식의 주요 이점:

• 고객은 부풀려진 IP 수가 아닌 자산 수량에 따라 적절한 양의 라이선스를 구입합니다.
• 고객은 서비스 해제되었거나 의도치 않게 스캔된 자산에서 라이선스를 회수하는 데 필요한 시간이 오래 걸리고 종종 부정확한 프로젝트를 피할 수 있습니다.
• 취약성 관리 메트릭은 IP 주소가 여러 개인 자산에 대한 이중 및 삼중 계산 취약성에 의해 손상되지 않습니다.

예, 일시적으로 고객은 라이선스가 부여된 자산 수를 초과할 수 있습니다. 물론, 고객은 라이선스 수가 계속해서 초과될 경우 추가 구매해야 합니다.

Tenable Vulnerability Management 사용자 인터페이스는 라이선스된 자산의 수와 실제 라이선스 사용 모두를 표시합니다.

자산은 분석할 수 있는 엔터티입니다. 데스크톱, 노트북, 서버, 스토리지 장치, 네트워크 장치, 전화, 태블릿, VM, 하이퍼바이저 및 컨테이너를 예로 들 수 있습니다.

Tenable Vulnerability Management에서 처음으로 자산을 별견하면 여러 식별 특성을 수집하며 여기에는 BIOS UUID, 시스템의 MAC 주소, NetBIOS 이름, FQDN 및/또는 자산을 신뢰할 수 있는 방식으로 식별하는데 사용할 수 있는 다른 특성이 포함됩니다. 또한 인증 스캐닝 및 Nessus 에이전트는 장치에 Tenable UUID를 할당합니다. 이후에 Tenable Vulnerability Management에서 자산을 스캔할 때 이전에 검색한 자산과 비교합니다. 새로 검색한 자산이 이전에 검색한 자산과 일치하지 않는 경우 자산을 Tenable Vulnerability Management 자산 인벤토리에 추가합니다.

IP는 일반적으로 자산의 속성이며 많은 자산에는 여러 IP가 할당되어 있습니다(예: DHCP 장치, 유선 및 무선 인터페이스가 모두 있는 시스템 등).

자산에 여러 네트워크 인터페이스 카드가 있는 경우가 빈번하므로 여러 네트워크에 의한 액세스가 가능합니다. 예를 들어, 웹 서버는 프로덕션 네트워크와 관리 네트워크에 동시에 존재하며 노트북에는 흔히 유선 및 무선 네트워크 인터페이스가 모두 있습니다. 또한, 노트북은 한 위치에서 다른 위치로 이동할 때 새 IP를 얻는 경우가 종종 있습니다. 한 IP로 스캔된 다음 다른 IP로 스캔되면 두 번 계산됩니다.

Tenable Vulnerability Management는 액티브 및 패시브 센서 모두를 사용하여 무제한 검색 스캔을 지원합니다. 고객은 이러한 스캔을 사용하여 포괄적으로 모든 자산의 인벤토리 목록을 만들고 적절한 라이선스 크기를 결정할 수 있습니다.

Tenable Vulnerability Management는 적절한 라이선스 크기를 계산하는데 동일한 자산을 두 번 또는 세 번 계산하는 것을 방지하기 위한 다양한 방법을 지원합니다. 기존 자산에 대해 Tenable Vulnerability Management는 새로 검색한 자산을 이미 검색한 자산에 일치시켜 중복을 제거하고 더 정확한 취약성 보고를 보장하는 독점적 알고리즘을 사용합니다.

Tenable Vulnerability Management에서 관리하는 고객 데이터에는 궁극적으로 고객이 환경의 보안을 유지하기 위해 자산과 취약성을 관리할 때 탁월한 경험을 제공하는 하나의 목적이 있습니다. 이를 위해 Tenable Vulnerability Management는 3개 범주의 고객 데이터를 관리합니다:

1. 자산 및 취약성 데이터
2. 환경 성능 데이터
3. 고객 사용 데이터

Tenable Vulnerability Management는 고객의 네트워크에 자신을 인벤토리로 유지하며 IP 주소, MAC 주소, NetBIOS 이름, 운영 시스템 및 버전, 활성 포트 등을 포함할 수 있는 자산 특성을 관리합니다.

Tenable Vulnerability Management는 자세한 현재 및 과거 취약성 및 구성 데이터를 수집하며 중요도, 악용 가능성 및 수정 상태 및 네트워크 활동을 포함할 수 있습니다. 추가적으로 고객이 자산 관리 시스템 및 패치 관리 시스템과 같은 타사 제품과의 통합으로 Tenable Vulnerability Management 데이터를 향상하는 경우 Tenable Vulnerability Management는 이런 제품의 데이터를 관리할 수 있습니다.

Tenable은 업계의 추세, 취약성 증가 및 완화 추세, 보안 이벤트의 추세 확인을 위해 고객 데이터를 익명화하여 분석할 수 있습니다. 예를 들어, 취약성의 존재를 악용 가능성과 상관관계 분석하면 Tenable 고객에게 큰 이점이 됩니다. 고급 분석, 고객 데이터와 업계 및 보안 이벤트와 추세 간의 개선된 상관관계 분석과 같은 추가적인 이점도 있습니다. 또한 그러한 데이터를 수집하고 분석하면 고객은 업계 내 또는 전체 산업의 다른 조직에 대해 기준을 확립할 수 있습니다. Tenable은 고객이 원하는 경우 옵트아웃할 수 있는 방법을 제공합니다.

Tenable Vulnerability Management 성능과 가용성을 유지하고 가능한 최고의 사용자 경험을 제공하기 위해 Tenable Vulnerability Management는 고객별 애플리케이션 상태 및 상태 정보를 수집합니다. 여기에는 스캐너가 플랫폼과 통신하는 빈도, 스캔된 자산 수 및 배포된 소프트웨어 버전 및 최대한 빨리 잠재적인 문제를 식별하고 해결하기 위한 기타 일반적인 원격 측정이 포함됩니다.

Tenable은 상태 데이터를 사용하여 잠재적인 문제를 적시에 탐지하고 해결하여 SLA 의무를 유지합니다. 따라서 고객은 이 데이터 수집에서 옵트아웃할 수 없습니다.

고객 환경을 평가 및 개선하기 위해 Tenable은 익명화된 사용자 사용 데이터를 수집합니다. 이 데이터에는 페이지 액세스, 클릭 및 기타 사용자 활동이 포함되며 사용자에게 사용자 환경의 간소화 및 개선에 대한 견해를 제공합니다.

예. 고객은 자신의 컨테이너가 더 이상 수집 프로세스의 일부가 되지 않도록 요청할 수 있습니다.

Tenable은 Amazon Web Services(AWS)의 데이터 센터 및 서비스를 사용하여 Tenable Vulnerability Management를 고객에게 제공합니다. 기본적으로, Tenable은 고객에게 가능한 최상의 환경을 보장하는 데 가장 적합한 리전에서 고객 컨테이너를 만듭니다. 현재 위치는 다음과 같습니다.

• 미국 동부
• 미국 서부
• 미국 중부
• 런던
• 프랑크푸르트
• 시드니
• 싱가포르
• 캐나다
• 일본
• 브라질
• 인도

예외적으로, 배포 전에 고객이 특정 AWS 리전을 요청하는 경우 Tenable은 해당 리전에서 고객을 활성화합니다.

모든 고객 데이터는 안전한 리전별 AWS 서비스에 저장되므로, AWS에서 유지 관리하는 EU 데이터 보호에 대한 인증이 Tenable 클라우드에 적용됩니다. 자세한 정보는 여기에서 확인할 수 있습니다.

예. 하지만, 추가 위치의 일정은 아직 결정되지 않았습니다.

초기 AWS 리전이 아닌 다른 리전에 데이터를 저장할 수 있는 상황이 있습니다.

• Tenable Vulnerability Management 고객은 여러 AWS 리전에서 사용 가능한 공개된 공유 스캐닝 풀을 사용하여 외부 스캔을 실행할 수 있습니다. 대상에 가까운 스캐너를 선택하면 일반적으로 스캔 속도가 빠릅니다. 고객이 계정을 호스팅하는 위치와 다른 위치에서 클라우드 스캐너를 사용하는 경우, 스캔 데이터는 일시적으로 계정의 호스팅 위치 외부에 존재하지만 저장되지는 않습니다. 예를 들어 EU/독일에서 호스팅하는 계정의 고객이 US/N. 버지니아의 스캐터로 스캔하는 경우, 스캔 데이터는 프랭크프루트에 저장되기 전에 일시적으로 미국을 통과합니다. 데이터 위치가 문제라면, 고객은 해당 리전에 있는 클라우드 스캐너로 외부 스캔을 수행해야 합니다. 스캔별로 쉽게 선택할 수 있습니다.
• 고객이 Tenable Security Center를 사용하는 경우 Tenable Vulnerability Management를 사용하여 전체 인프라의 일부분을 스캔하더라도 클라우드에 저장되지 않습니다.
• Tenable Nessus Agent 스캔 데이터는 고객이 Tenable Vulnerability Management에서 스캔을 실행할 때 Tenable Vulnerability Management에 저장됩니다. 고객이 Tenable Nessus Manager로 에이전트 스캔을 실행하는 경우 데이터는 에이전트를 배포한 곳에 관계 없이 Tenable Vulnerability Management에 저장되지 않습니다.

예. 데이터는 계정을 만들 때 선택한 국가에 저장됩니다.

Tenable은 Tenable Vulnerability Management 데이터 보안 및 개인 정보 보호를 제공하기 위해 여러 보안 방안을 적용합니다.

Tenable은 Tenable Vulnerability Management 애플리케이션 소프트웨어의 보안을 보장하기 위해 여러 관행을 따릅니다.

테스트는 Tenable 내 3개의 개별 그룹에서 수행합니다.

• 보안 테스트는 개발 팀에서 수행합니다.
• Tenable IT Security 팀은 배포 이전 및 이후(배포 이후 테스트는 다른 팀에 미리 경고 없는 예약하지 않는 테스트) 모두에서 취약성 테스트를 수행합니다; 및
• Tenable은 배포 전에 소스 코드 및 변경에 대한 추가적인 보안 검토를 제공합니다.

모든 소프트웨어 배포는 기업 LDAP 자격 증명을 통해 인증하는 빌드 시스템 또는 SSH 개인 키를 사용하여 인증하는 Ansible을 통해서만 자동화 및 수행합니다. 모든 배포는 로그 및 추적되며, 배포 작업(계획된 또는 계획되지 않은)에 대한 알림은 Tenable 개발 팀에 자동으로 전송됩니다.

소스 코드에 대한 모든 변경은 추적되고 해당 변경이 설치된 릴리스에 연결됩니다. 이런 추적을 통해 모든 변경, 변경을 수행한 사용자, 변경을 수행한 시간 그리고 마지막으로, 변경이 프로덕션에 배포된 시간에 대한 전체 기록을 확보할 수 있습니다.

각 배포는 적어도 2명 이상의 Tenable 팀원의 승인을 받습니다. 모든 변경 및 배포는 모든 팀원에게 브로드캐스트됩니다. 소프트웨어는 먼저 테스트 환경에 배포된 다음, 일정 기간 동안 "단계적 방식"으로 프로덕션 인스턴스에 배포됩니다.

• 보안이 높고 승인된 방식으로 Tenable Vulnerability Management에 액세스를 보장하는 것은 배포 및 운영 팀에게 높은 우선 순위입니다. Tenable Vulnerability Management는 고객 데이터의 보안을 유지하고 액세스를 통제하는 여러 방식을 제공합니다. Tenable은 로그인 시도가 5회 실패하면 계정을 잠가서 무차별 대입 공격으로부터 보호합니다.
• 데이터 가로채기로부터 보호하기 위해 플랫폼과 모든 통신은 SSL(TLS-1.2)을 통해 암호화됩니다. 또한 가장 높은 수준의 보호를 보장하기 위해 오래된 안전하지 않은 SSL 협상은 거부합니다.
• 플랫폼에 액세스를 보호하려면 고객은 Twillo를 통하여 제공하는 서비스 통하여 2단계 인증을 구성할 수 있습니다.
• 고객은 Tenable Vulnerability Management를 SAML 배포와 통합할 수 있습니다. Tenable Vulnerability Management는 IdP 및 SP 모두에서 시작한 요청을 지원합니다. 마지막으로, 사용자는 자신의 이메일 주소를 사용하여 애플리케이션 내부에서 바로 비밀번호를 초기화할 수 있습니다.
• 고객은 많은 경우 설명서의 API 또는 SDK를 사용하여 Tenable Vulnerability Management에 고객 연결을 구축합니다. 특정 API "키"를 만들어서 액세스를 허용하고 제어할 수 있습니다. 사용자 자격 증명을 공유하지 않아도 각기 다른 통합에 다른 키를 사용하는 것이 지원됩니다.

Tenable은 Tenable Vulnerability Management 데이터 보안 및 개인 정보 보호를 제공하기 위해 여러 보안 방안을 적용합니다.

Tenable Vulnerability Management 플랫폼에 모든 상태의 모든 데이터는 AES-256 이상을 사용하여 최소 한 암호화 레벨로 암호화합니다.

보관 중: 데이터는 최소 한 레벨의 AES-256 암호화를 사용하여 암호화한 미디어에 저장합니다.

일부 데이터 클래스는 파일당 암호화의 두 번째 수준을 포함합니다.

전송 중: 데이터는 전송(내부 전송 포함) 중에 4096비트 키의 TLS v1.2를 사용하여 암호화합니다.

Tenable Vulnerability Management 센서 통신: 센서에서 플랫폼으로 향하는 트래픽은 항상 센서에 의해 시작되며 포트 443을 통한 아웃바운드 전용입니다. 트래픽은 4096비트 키의 TLS 1.2를 사용하여 SSL 통신을 통해 암호화합니다. 따라서 방화벽을 변경할 필요가 없으며 고객은 방화벽 규칙을 통해 연결을 제어할 수 있습니다.

• 스캐너-플랫폼 인증
• 플랫폼은 컨테이너에 연결된 각 스캐너에 대해 256비트 길이의 임의 키를 생성하고 연결 프로세스 동안 해당 키를 스캐너로 전달합니다.
• 스캐너는 작업, 플러그인 업데이트 및 스캐너 바이너리에 대한 업데이트 요청 시 이 키를 사용해 컨트롤러를 다시 인증합니다.
• 스캐너-플랫폼 작업 통신
• 스캐너는 30초마다 플랫폼에 통신합니다.
• 작업이 있으면, 플랫폼은 128비트의 임의 키를 생성합니다.
• 스캐너는 플랫폼에서 정책을 요청합니다.
• 컨트롤러는 키를 사용하여 정책을 암호화하며 여기에는 스캔 중에 사용해야 하는 자격 증명이 포함됩니다.

백업/복제 중에: 볼륨 스냅샷 및 데이터 복제는 AES-256 이상으로 소스와 같은 레벨의 암호화로 저장합니다. 모든 복제는 공급자를 통하여 수행합니다. Tenable은 실제 오프사이트 미디어 또는 실제 시스템에 어떤 데이터도 백업하지 않습니다.

색인 중에: 색인 데이터는 AES-256 암호화의 최소 한 레벨을 사용하여 암호화된 미디어에 저장합니다.

스캔 자격 증명: 정책 내부에 저장하며 컨테이너 AES-256 전역 키로 암호화합니다. 스캔이 시작되면 정책은 일회용 임의 128비트 키로 암호화되고 4096비트 키의 TLS v1.2를 사용하여 전송합니다.

키 관리: 키는 중앙 집중식으로 저장하며 역할 기반 키로 암호화하며 액세스는 제한됩니다. 저장된 모든 암호화된 데이터는 새 키로 회전할 수 있습니다. 데이터 파일 암호화 키는 디스크 수준 키와 마찬가지로 각 리전별 사이트에서 각기 다릅니다. 키 공유는 금지되며 키 관리 절차는 1년 단위로 검토합니다.

키 관리는 고객이 구성할 수 없습니다. Tenable에서 키와 키 회전을 관리합니다.

Tenable Network Security는 EU-미국 프라이버시 실드 프레임워크 및 스위스-미국 프라이버시 실드 프레임워크를 준수합니다. 프라이버시 실드 프레임워크는 미국 유럽 연합 및 스위스 각각에서 미국으로 이전되는 개인 정보의 수집, 사용 및 보관에 관한 상무부입니다. Tenable Network Security는 프라이버시 실드 원칙을 준수하는 것으로 상무부의 인증을 받았습니다. 이 개인 정보 보호 정책의 조건과 프라이버시 실드 원칙 간에 상충되는 내용이 있는 경우에 프라이버시 실드 원칙이 적용됩니다. 프라이버시 실드 프로그램에 대해 자세히 알아보고 Tenable 인증을 확인하려면 https://www.privacyshield.gov/를 방문하십시오.

Tenable은 Cloud Security Alliance(CSA) STAR 자체 평가를 완료했습니다. Tenable은 CAIQ(Consensus Assessment Initiative Questionnaire)에 응답Tenable Vulnerability Management 잠재 고객, 고객 또는 파트너가 답해야할 수 있는 140개 이상의 보안 관련 질문에 답변합니다. CSA STAR는 클라우드에서의 보안 보증을 위한 업계에서 가장 강력한 프로그램입니다. STAR(Security Trust & Assurance Registry)는 클라우드 제품군의 모범 사례 표시 및 보안 포스처 확인을 포함하여 투명성, 엄격한 감사 및 표준 조화의 주요 원칙을 포함합니다.

Tenable Vulnerability Management 플랫폼은 추가 인증 또는 보안 방안이 필요할 수 있는 형식으로 개인 식별 정보(PII) 데이터 유형을 수집하지 않기 위해 모든 노력을 합니다. 여기에는 신용 카드 번호, 사회 보장 번호 및 기타 사용자 지정 검사가 포함됩니다. Tenable 플러그인이 중요한 정보나 개인 정보를 포함할 수 있는 문자열을 캡처하는 경우, 플랫폼은 자동으로 문자의 최소 50%를 난독 처리하여 민감할 수 있는 데이터를 보호합니다.

각 고객의 데이터에는 특정 고객 구독에 해당하는 "컨테이너 ID"가 표시됩니다. 이 컨테이너 ID는 고객의 데이터에 대한 액세스가 해당 고객으로만 제한되도록 보장합니다.

• Tenable은 매일 취약성 스캔을 수행합니다.
• 방화벽 및 네트워크 세분화를 통해 액세스를 제어합니다.자동화된 도구 및 프로세스가 Tenable Vulnerability Management 플랫폼에서 가동 시간 및 성능을 모니터링하여 이상 행동을 탐지합니다.
• 로그는 자동화를 통해 연중무휴 모니터링하며 Tenable 직원은 연중무휴로 이벤트에 응답할 수 있습니다.

플랫폼에 연결되는 센서는 고객의 보안, 취약성 및 자산 정보 수집에 중요한 역할을 합니다. 이 데이터를 보호하고 통신 경로의 보안을 보장하는 것은 Tenable Vulnerability Management의 핵심 기능입니다. Tenable Vulnerability Management는 현재 여러 센서를 지원합니다: Tenable Nessus 취약성 스캐너, 패시브 스캐너 및 Tenable Nessus Agents.

이런 sensors는 암호화로 인증하고 Tenable Vulnerability Management에 연결한 후에 Tenable Vulnerability Management 플랫폼에 연결됩니다. 연결되었으면 Tenable Vulnerability Management는 모든 업데이트(플러그인, 코드 등)를 관리하여 센서가 항상 최신인지 확인합니다.

센서에서 플랫폼으로 향하는 트래픽은 항상 센서에 의해 시작되며 포트 443을 통한 아웃바운드 전용입니다. 트래픽은 4096비트 키의 TLS 1.2를 사용하여 SSL 통신을 통해 암호화합니다. 따라서 방화벽을 변경할 필요가 없으며 고객은 방화벽 규칙을 통해 연결을 제어할 수 있습니다.

• 스캐너-플랫폼 인증
  • 플랫폼은 컨테이너에 연결된 각 스캐너에 대해 256비트 길이의 임의 키를 생성하고 연결 프로세스 동안 해당 키를 스캐너로 전달합니다.
  • 스캐너는 작업, 플러그인 업데이트 및 스캐너 바이너리에 대한 업데이트 요청 시 이 키를 사용해 컨트롤러를 다시 인증합니다.
• 스캐너-플랫폼 작업 통신
  • 스캐너는 30초마다 플랫폼에 통신합니다.
  • 작업이 있으면, 플랫폼은 128비트의 임의 키를 생성합니다.
  • 스캐너는 플랫폼에서 정책을 요청합니다.
  • 컨트롤러는 키를 사용하여 정책을 암호화하며 여기에는 스캔 중에 사용해야 하는 자격 증명이 포함됩니다.

Tenable Vulnerability Management 서비스는 99.95% 이상의 가동 시간을 제공하려고 노력하며 대부분의 서비스에서 100% 가동 시간을 제공했습니다. Tenable은 모든 사용자가 플랫폼을 사용할 수 있도록 보장한다는 약속과 계획되지 않은 가동 중지 발생 시 고객에게 크레딧을 제공하는 방식을 설명하는 SLA를 발표했습니다.

"Up"(가동중) 상태는 단순히 모든 서비스의 가용성을 주기적으로 테스트하는 타사가 호스팅하는 공개 가용성 테스트에 의해 결정됩니다. 서비스(현재 및 과거 모두)의 가동 시간은 https://status.tenable.com에서 확인할 수 있습니다.

Tenable Vulnerability Management는 AWS 플랫폼 및 이외 선도적 기술을 폭넓게 사용하여 고객 경험이 가능한 최고의 서비스 및 전반적 품질이 되도록 보장합니다. 다음은 고객을 위하여 배포함 솔루션의 부분적 목록입니다

• ElasticSearch 클러스터: Elasticsearch 클러스터는 가용성이 높으며 서비스 가용성에 영향을 주지 않고 마스터 노드, lb 모드 및 최소 1개 데이터 노드의 손상에서 복구할 수 있습니다.
• Elastic 블록 저장소: 매일 스냅샷을 만드는데 사용되며 여덟(8) 개의 복사본을 저장합니다.
• Kafka 에코시스템: Kafka 및 Zookeeper는 모두 클러스터 전반에서 데이터를 복제하여 노드에 재난적 장애 중에도 장애 복구를 제공합니다.
• Postgres 인스턴스: 30일의 스냅샨을 보관하기 위해 백엔드 마이크로서비스 프레임워크를 관리합니다.

복제된 데이터는 동일한 리전 내에 저장합니다.

재해란 하나 이상의 리전에서 복구할 수 없는 데이터 또는 장비의 손실이 발생하는 이벤트입니다.

Tenable Vulnerability Management 재난 복구 절차에는 여러 레벨이 있으며 5년에 한 번에서 50년에 한 번 발생할 수 있는 상황에 대응하도록 설계되었습니다. 재해의 범위에 따라, 복구 절차에 걸리는 시간은 60분에서 48시간까지 다릅니다.

고객은 직원에게 역할과 권한을 할당하고 Tenable 지원 팀 직원에게 임시로 액세스 권한을 부여하는 등 데이터에 대한 액세스 권한을 갖는 사용자를 제어할 수 있습니다.

Tenable Vulnerability Management 고객의 관리자는 스캔, 정책, 스캐너, 에이전트 및 자산 목록에 액세스를 관리하기 위해 사용자 역할(기본, 표준, 관리자 및 사용 중지)을 할당할 수 있습니다.

예.고객의 승인이 있으면 티어 3의 Tenable 글로벌 지원 직원 구성원이 사용자 계정을 가장할 수 있으며 사용자의 비밀 번호를 받을 필요 없이 다른 사용자로 Tenable Vulnerability Management에서 작업을 수행할 수 있습니다. Tenable 지원 팀 직원 또는 고객은 이 기능을 활성화할 것을 요청할 수 있습니다. Tenable 지원 팀 직원은 고객에게 활성 지원 케이스에서 메모를 통해 가장을 "승인"해 줄 것을 요구합니다. 지원 팀에 로그된 모든 문제에 대해 권한이 부여되어야 합니다. Tenable은 어떤 경우에도 모든 문제에 대한 "승인"에 따라 운영하지 않습니다. 사용자 가장으로 인해 데이터가 기본 위치를 벗어날 수 있습니다.

모든 Tenable Vulnerability Management 운영 직원은 타사 신원 검사를 통과해야 합니다. 또한 모든 선인 팀원은 SaaS 기반 보안 소프트웨어 회사에서 최소 5년의 경험이 있으며 많은 경우 CISSP와 같은 보안 인증을 보유하고 있습니다.

Tenable에는 채용 및 고용 종료 프로세스가 규정되어 있습니다. 모든 직원은 채용의 일부분으로 기밀유지 계약에 서명해야 하며 고용 종료 시 모든 계정과 액세스 키가 즉시 철회됩니다.

Tenable의 티어3 지원 팀 직원만 가장 기능을 사용할 수 있습니다.

예.

Tenable은 고객 데이터의 보호를 보장하기 위해 모든 노력을 다하며 데이터를 필요한 리전에 유지하기 위해 고객과 협력하여 정책을 따르도록 보장합니다. 하지만 고객이 Tenable에 보고서를 이메일로 보내거나 다른 방식으로 해당 리전 밖에서 이메일을 보내 자체 정책을 위반하는 경우가 있습니다.

아니요. 모든 트래픽은 스캐너에 의해 시작되며 아웃바운드 전용입니다. 스캐너는 고객의 방화벽 뒤에 설치되고 고객 방화벽을 통해 스캐너의 액세스를 제어할 수 있습니다.

데이터 보존 기간은 다양한 고객 및 규제 요구 사항을 충족할 수 있도록 고안되었습니다.

시간에 걸쳐 진행을 측정하는 능력은 Tenable Vulnerability Management 플랫폼의 핵심적 기능입니다. Tenable Vulnerability Management는 일(1) 년 이상의 기간에 대해 보고할 수 있도록 자동으로 15개월의 고객 데이터를 저장합니다.

고객이 15개월 이상을 저장해야 하는 경우 Tenable Vulnerability Management는 고객 데이터를 다운로드하고 고객이 원한는대로 저장할 수 있는 여러 방법을 제공합니다.

고객의 계정이 만료되거나 종료되는 경우, Tenable은 계정 만료 시점부터 180일간 데이터를 유지합니다. 그 이후 이 데이터는 삭제될 수 있으며 복구할 수 없습니다.

PCI 컴플라이언스 확인 프로세스와 관련된 데이터는 PCI 규정에서 요구하는 대로 PCI 증명 날짜로부터 최소 3년까지는 삭제되지 않습니다. Tenable은 고객이 스캔 또는 계정을 삭제하거나 Tenable Vulnerability Management 서비스를 종료하는 경우에도 이 데이터를 이 기간 동안 유지합니다.

가능한 최상의 환경을 보장하기 위해, Tenable은 고객 컨테이너가 활성 상태로 유지되는 한 이 정보를 수집합니다. 고객이 서비스를 중단하면 데이터는 180일간 유지됩니다.

Common Criteria 인증은 업데이트의 주기가 완료하는 데 6개월에서 9개월이 걸리는 인증 절차에 해당하지 않으므로 일반적으로 SaaS 솔루션에 적용되지 않습니다.

예외적으로, 배포 전에 고객이 특정 지리적 위치를 요청하는 경우 Tenable은 해당 위치에서 고객을 활성화합니다. 현재 위치는 다음과 같습니다.

• 미국
• 런던
• 프랑크푸르트
• 시드니
• 싱가포르
• 캐나다
• 일본
• 브라질
• 인도

아니요. Tenable은 현재 한 위치에서 다른 위치로 데이터를 복제하지 않습니다.

PCI ASV는 분기별 외부 취약성 스캔을 요구하는 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 요건 및 보안 평가 절차의 요구 사항 11.2.2를 참조하며 이 취약성 스캔은 승인된 스캐닝 공급업체(ASV)에 의해 수행(또는 증명)되어야 합니다. ASV는 PCI DSS 요건 11.2.2의 외부 스캐닝 요구 사항 준수를 확인하기 위한 일련의 서비스 및 도구('ASV 스캐닝 솔루션')를 보유한 조직입니다.

PCI DSS는 카드 소유자 데이터 환경의 일부인 스캔 고객이 소유하거나 사용하는 모든 외부 액세스 가능(인터넷 연결) 시스템 구성 요소와 카드 소유자 데이터 환경에 대한 경로를 제공하는 모든 외부를 향한 시스템 구성 요소에 대한 취약성 스캐닝을 요구합니다.

ASV 스캐닝의 주요 단계는 다음으로 구성됩니다.

• 범위 지정: 카드 보유자 데이터 환경의 일부분인 모든 인터넷에 연결된 시스템 구성 요소를 포함하도록 고객이 수행합니다.
• 스캐닝: Tenable Vulnerability Management PCI 분기별 외부 스캔 사용하기 템플릿
• 보고/수정: 임시 보고서의 결과를 수정합니다.
• 이의 해결: 고객과 ASV가 함께 분쟁이 일어난 스캔 결과를 문서화하고 해결합니다.
• 다시 스캔(필요에 따라): 이의 및 예외를 해결하는 통과하는 스캔이 생성될 때까지.
• 최종 보고: 안전한 방식으로 제출 및 제공합니다.

ASV 취약성 스캔은 최소 분기마다 필수이며 새 시스템 구성 요소 설차, 네트워크 토폴로지에 변경, 방화벽 규칙 수정 또는 제품 업그레이드와 같은 네트워크에 중대한 변경 후에 필수입니다.

ASV(approved scanning vendor)는 PCI DSS 11.2에 설명된 외부 취약성 스캔만 수행합니다. QSA(qualified security assessor)는 PCI 보안 표준 위원회(SSC)에서 자격을 인증하여 일반 PCI DSS 온사이트 평가를 수행하도록 교육한 평가 회사입니다.

예.Tenable은 판매자 및 서비스 공급자의 인터넷에 연결된 환경(카드 소유자 데이터를 저장, 처리 또는 전송에 사용)에서 외부 취약성 스캔을 유효성 검사하는 ASV(approved scanning vendor)로 자격을 갖고 있습니다. ASV 자격 취득 프로세스는 세 부분으로 구성됩니다. 첫 번째는 공급업체로서 Tenable Network Security의 자격 취득과 관련됩니다. 두 번째는 원격 PCI 스캐닝 서비스에 대한 책임이 있는 Tenable 직원의 자격에 관련됩니다. 세 번째는 Tenable 원격 스캐닝 솔루션(Tenable Vulnerability Management 및 Tenable PCI ASV)의 보안 테스트로 구성됩니다.

ASV는 스캔을 수행할 수 있습니다. 단, Tenable은 고객이 PCI 분기별 외부 스캔 템플릿을 사용하여 자체 스캔을 수행하는 것에 의존합니다. 이 템플릿은 고객이 취약성 검사 사용 중지, 심각도 수준 할당, 스캔 매개 변수 변경 등과 같은 구성 설정을 변경하지 못하게 합니다. 고객은 Tenable Vulnerability Management 클라우드 기반 스캐너를 사용하여 인터넷에 연결된 환경을 스캔한 다음 증명을 위해 컴플라이언스 스캔 보고서를 Tenable에 제출합니다. Tenable에서 스캔 보고서를 증명한 다음, 고객은 결제 브랜드의 지시에 따라 취득자 또는 결제 브랜드에 보고서를 제출합니다.

취약성 데이터는 EU DPD 95/46/EC 데이터가 아니므로, 모든 데이터 보존 요구 사항은 규제 중심이 아닌 고객 중심입니다. EU 주 정부 조직에는 자체 데이터 보존 요구 사항이 있을 수 있지만, 사례별로 평가되어야 하며 PCI-ASV 스캔에 대한 문제는 아닐 수 있습니다.

예, Tenable Vulnerability Management는 단일 고유 PCI 자산에 대한 PCI ASV 라이선스를 포함합니다. 일부 조직은 종종 결제 처리 기능을 아웃소싱하여 PCI의 범위에 포함되는 자산을 제한하기 위해 많은 노력을 기울여 왔습니다. 이런 고객은 "PCI 사업에 종사하지 않음"을 주장할만하므로 Tenable은 구입 및 라이선스를 단순화했습니다. 고객은 90일마다 자산을 변경할 수 있습니다.

단일 고유한 PCI 자산이 하나 이상인 고객은 Tenable PCI ASV 솔루션은 Tenable Vulnerability Management 구독의 추가 기능으로 라이선스됩니다.

엔터티의 카드 소유자 데이터 환경(CDE) 내에 있거나 이 환경에 대한 경로를 제공하는 인터넷 연결 호스트의 수는 자주 변경될 수 있으며 따라서 라이선싱이 복잡해질 수 있습니다. Tenable은 보다 간단한 라이선싱 접근 방법을 사용하기로 선택했습니다.

고객은 분기별 증명을 무제한으로 제출할 수 있습니다.

예. 평가 고객은 PCI 분기별 외부 스캔 템플릿을 사용해 자산을 스캔하고 결과를 검토할 수 있습니다. 하지만, 스캔 보고서를 증명을 위해 제출할 수는 없습니다.