Surveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue

Transcription

1 Surveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue Ron Gula PDG, Directeur technique

2 Introduction Les technologies de gestion des vulnérabilités ont tellement progressé qu une surveillance en quasi-temps réel de la sécurité basée sur les résultats est possible avec les fonctions analytiques de «Big Data». John Streufert, directeur de la division Cybersécurité nationale du Département américain de la sécurité nationale (DHS - Department of Homeland Security), a récemment formulé les cinq recommandations suivantes dans le cadre d une surveillance continue : 1. Analyse quotidienne, au minimum toutes les 36 à 72 heures 2. Priorité à la préparation aux attaques 3. Correction quotidienne 4. Implication personnelle 5. Responsabilisation des gestionnaires Ces recommandations constituent une composante clé du programme CyberScope du gouvernement américain, qui contient des directives applicables à un public international. Le programme CyberScope a été déployé au sein du gouvernement fédéral américain, dans de nombreuses administrations régionales ou locales, ainsi que dans un nombre croissant d établissements privés des secteurs commerciaux, financiers, manufacturiers, énergétiques et universitaires. Bien que le programme CyberScope impose des rapports mensuels, bon nombre d entreprises réalisent en interne des évaluations de sécurité en temps réel ou quasi quotidiennes. La surveillance continue applique à la surveillance proactive de la sécurité le même niveau d effort et d analyse que des stratégies traditionnellement défensives, telles que l analyse antivirus et la détection des intrusions sur le réseau. Les entreprises qui pratiquent la surveillance continue réagissent en temps réel aux nouvelles vulnérabilités et menaces. Toutefois, la majorité des grandes entreprises qui mettent en œuvre un processus de gestion des vulnérabilités aujourd hui en sont encore au Moyen Âge. La plupart d entre elles détectent les vulnérabilités beaucoup trop lentement pour pouvoir les gérer ou réagir efficacement, et la communication sur les éléments à corriger est plutôt insuffisante. Elles sont engagées dans un combat permanent du fait du manque d informations pertinentes et/ou de l absence de ressources appropriées pour atténuer les problèmes de sécurité. La nature extrêmement rapide de la surveillance continue est l occasion de considérer la gestion des vulnérabilités comme un problème de «Big Data». Les données collectées par une multitude de capteurs peuvent être utilisées pour la modélisation et la mesure en quasi-temps réel dans les grandes entreprises, mais il est nécessaire de les filtrer pour en tirer des informations directement exploitables. Ces données aident à faire des choix plus judicieux, à identifier les tendances avant qu elles se transforment en problèmes, à élaborer des politiques plus efficaces et à responsabiliser davantage les propriétaires de ressources vis-à-vis des systèmes qu ils gèrent. Les données permettent de véritables mesures de sécurité «basées sur les résultats» pour différents départements informatiques, ressources ou unités opérationnelles. Les résultats susceptibles d être demandés par les cadres et la direction peuvent faire l objet d un suivi en temps réel et ne pas être restreints, modifiés ou dénaturés par une intervention humaine, des opinions politiques ou l incapacité à suivre ces informations. Le présent document explique les stratégies possibles pour aider les entreprises commerciales et les administrations à atteindre ces objectifs pour leurs programmes de surveillance continue. L approche décrite ici repose sur l analyse distribuée, le «sniffing» (ou «reniflage») et l analyse des journaux pour détecter les vulnérabilités de façon flexible, évolutive et en quasi-temps réel sur les réseaux de toutes tailles. Plus important encore, cette approche comprend des fonctions analytiques avancées permettant le pointage des données de vulnérabilité, l émission d alertes, le repérage des tendances et la visualisation de ces données par unité opérationnelle, propriétaire de ressources ou plate-forme technologique. Les entreprises de toutes tailles peuvent définir des objectifs pour les résultats visés en matière de sécurité et suivre les performances de chaque unité opérationnelle en la matière. Étape 1 Analyse quotidienne Pour les réseaux des grandes entreprises comme pour ceux des PME, il est possible d exécuter une évaluation quotidienne des vulnérabilités si vous déployez des analyseurs, des agents ou des renifleurs dédiés. Dans le passé, la plupart des entreprises réalisaient des analyses de vulnérabilités une fois par mois et envoyaient un rapport à l équipe informatique par courrier électronique. Toutefois, la technologie actuelle qui repose sur l analyse distribuée et la surveillance des réseaux a tellement progressé qu il est possible, et même conseillé, de réaliser des évaluations quasi instantanées des réseaux les plus vastes. Le risque lié à l absence d analyse en temps réel est très élevé. De nouveaux contrôles de vulnérabilité sont mis à jour quotidiennement en vue de la détection des vulnérabilités de type «zero-day» révélées, ainsi que des correctifs d urgence publiés par les éditeurs. L exécution d une évaluation de sécurité mensuelle garantit presque toujours que vos analyses révèleront des problèmes de sécurité critiques à gérer. En plus des attaques classiques, les systèmes vulnérables sur lesquels aucun correctif n a été appliqué sont la proie d intrus qui se sont introduits suite à une infection par un programme malveillant ou un réseau de bots. 2

3 Une combinaison d analyseurs actifs et passifs est nécessaire pour l exécution d analyses à grande échelle en temps réel. Les analyseurs actifs, tels que Nessus, intègrent des fonctionnalités permettant de définir et de quantifier le niveau de sécurité global d une entreprise : découverte à haute vitesse des vulnérabilités, établissement de profils de ressources, configuration sans agent, audits de conformité, découverte des données sensibles et évaluations approfondies. L avantage de l analyse active est qu il s agit d une méthode relativement rapide et précise pour déterminer les risques pesant sur un réseau. L analyse passive repose sur une solution logicielle d analyse des vulnérabilités et de découverte de réseau qui établit un profil et assure la surveillance du réseau en temps réel pour l évaluation continue du niveau de sécurité d une entreprise, et ce de façon non intrusive. Les analyseurs passifs surveillent le trafic réseau au niveau des paquets pour déterminer la topologie, offrir une visibilité sur les vulnérabilités côté serveur et côté client, ainsi qu identifier le flux de données sensibles et l utilisation des protocoles et services courants. Contrairement aux analyseurs actifs, qui prennent un instantané du réseau, les analyseurs passifs opèrent comme des détecteurs de mouvements de sécurité sur le réseau, qui observent en permanence tout ce qui traverse son chemin, y compris les interactions non autorisées, indésirables et suspectes entre les hôtes. La combinaison d analyses actives et passives procure des données plus exploitables concernant la sécurité des réseaux IPv4 ou IPv6. Elle permet également de découvrir et de vérifier tous les terminaux mobiles connectés à votre réseau. Il est important de veiller à ce que les analyseurs actifs et passifs prennent en charge les réseaux IPv6 qui se mesurent en trillions d adresses IP potentielles. Il est également utile de croiser les contrôles de vulnérabilité avec les systèmes de gestion des correctifs d entreprise pour s assurer du déploiement effectif des correctifs. La découverte en temps réel de nouveaux systèmes, de nouvelles applications et de nouvelles vulnérabilités permet d atteindre les quatre autres objectifs recommandés par John Streufert, car les données servant aux mesures sont à jour. Étape 2 Priorité à la préparation aux attaques Préparer une entreprise à affronter les attaques et gérer les fenêtres historiques d application des correctifs sont deux choses différentes. Une fenêtre d application des correctifs est le laps de temps qu une entreprise accorde à une ressource ou à une unité opérationnelle pour appliquer les correctifs. À l heure actuelle, de nombreuses entreprises ont généré des tableaux de bord et des rapports statistiques axés sur l application des correctifs à grande échelle, mais pas nécessairement sur l évaluation de leur exposition réelle aux attaques. Cela leur donne un faux sentiment de sécurité. L application des correctifs reste un aspect important, mais il est plus essentiel encore de comprendre la façon dont une ressource peut être exploitée. Selon les courants de pensée classiques et historiques, on ne peut raisonnablement pas s attendre à ce que tous les correctifs soient appliqués immédiatement. Les responsables informatiques disposent alors d une fenêtre d application qui leur donne suffisamment de temps pour corriger les éventuels problèmes de sécurité. Toutefois, du point de vue d un pirate, c est la garantie de pouvoir exploiter une faille découverte sur les réseaux d entreprise pendant quelques temps. Les rapports de type «fenêtre d application des correctifs» ne tiennent pas compte du contexte dans lequel se trouve le système sur le réseau. Est-il derrière un pare-feu? S agit-il de l ordinateur d un administrateur informatique? S agit-il de l ordinateur portable d un commercial qu il utilise à l hôtel? Il est plus simple de déterminer si un ordinateur a reçu ou non les derniers correctifs que de déterminer si un ordinateur est une ressource susceptible d être directement attaquée à partir d Internet ou d être utilisée pour accéder aux systèmes critiques d une entreprise. Une approche permettant de mieux comprendre et visualiser l état de préparation aux attaques combine des audits sur les correctifs, sur le niveau de résistance du système à une attaque, et l identification des systèmes exploitables ou susceptibles d être utilisés pour s introduire sur d autres systèmes. Le processus de collecte et d analyse des données se décompose en quatre étapes : 1. Détection des vulnérabilités, des relations de confiance entre réseaux et des accès à Internet en quasi-temps réel au moyen du «reniflage» et des analyses avec authentification 2. Mise en corrélation des différentes vulnérabilités ayant fait l objet d un correctif, d une analyse ou d un «reniflage» avec toutes les failles publiques détectées par les produits et outils de test de pénétration courants 3. Examen des chemins d attaque et des relations de confiance pour déterminer les vulnérabilités directement exploitables à partir d Internet, de la navigation sur Internet ou d un accès privilégié en interne 4. Association de ces chemins d attaque par ressource de manière à les hiérarchiser et à atténuer les risques avec l application de correctifs, des règles de pare-feu, des proxys, etc. La collecte des données de vulnérabilité et leur mise en corrélation avec les failles s avèrent très utiles. Vous pouvez ainsi connaître les ressources les plus susceptibles d être exploitées par des attaques réelles côté serveur et côté client. Le fait d inclure les relations de confiance entre réseaux et les informations d accès permet l identification automatique des systèmes fiables, tels que ceux utilisés par les administrateurs informatiques, des serveurs courants accessibles par un grand nombre d utilisateurs et des systèmes dotés d un accès à 3

4 Internet et au réseau local. Grâce à ces informations, vous pouvez classer les hôtes selon les trois catégories suivantes : 1. Hôtes directement exploitables à partir d Internet 2. Clients de navigation Internet dotés de logiciels clients exploitables 3. Systèmes fiables auxquels accèdent des hôtes de la catégorie 1 ou 2 L examen des données de connectivité issues du «reniflage» passif et des audits avec authentification permet d identifier quels systèmes sont des clients et quels systèmes sont des serveurs. Si vous connaissez ces relations, vous êtes en mesure d identifier les serveurs qui sont administrés à partir de clients vulnérables. Un grand nombre d entreprises ont abandonné les analyses ponctuelles manuelles et adopté des méthodes de «reniflage» et d analyse centralisée ; elles ont dû totalement repenser leur processus de génération des rapports de conformité qui manquait d évolutivité. Étape 3 Correction quotidienne Finie l époque où les entreprises effectuaient des analyses de vulnérabilités une fois par trimestre et envoyaient un rapport interminable aux équipes informatiques. Autre pratique en passe de disparaître : la gestion des vulnérabilités «façon maison» avec l équipe de sécurité qui choisit des correctifs spécifiques et demande aux administrateurs informatiques de les appliquer. Étant donné les risques croissants liés aux ressources informatiques, les administrateurs sont appelés à appliquer les correctifs plus souvent, parfois de façon quotidienne. Il y a plusieurs années, l application des correctifs publiés par des éditeurs de premier plan, tels que Microsoft, Adobe ou Cisco, inspirait peu confiance. Aujourd hui, nous possédons une expérience de près de dix ans dans l application de correctifs par le biais de mises à jour critiques, de diffusions directes par l éditeur et de diffusions automatisées via les systèmes de gestion des correctifs, et disposons de méthodes plus simples pour effectuer des retours à un état antérieur («rollbacks»). Cette confiance ainsi acquise a conduit à délaisser les tests de correctifs visant à s assurer de leur fiabilité pendant longtemps et à mettre davantage l accent sur la diffusion rapide des correctifs. Une approche efficace du suivi des corrections quotidiennes implique l utilisation de différentes technologies. Il est possible de recourir à la surveillance passive pour effectuer le suivi des réseaux pour lesquels l équipe de sécurité n est pas autorisée à effectuer des analyses ou pour lesquels elle est habilitée à réaliser des analyses avec authentification uniquement afin de déterminer les correctifs manquants. Les données de vulnérabilité collectées de façon passive peuvent faire l objet d un suivi, ce qui vous permet de déterminer l ancienneté d une vulnérabilité, le moment où elle a été découverte pour la première fois, le moment où elle a été détectée pour la dernière fois et si elle a refait son apparition. L analyse active peut fournir des informations précises sur les correctifs indépendamment de l éditeur, sans qu il soit nécessaire de déployer un agent sur les systèmes analysés. Elle peut également être utile pour retracer l historique des vulnérabilités qui ont été corrigées et déterminer ainsi si une vulnérabilité «corrigée» a refait son apparition. C est un aspect important car, contrairement à une nouvelle vulnérabilité qui nécessite uniquement l application d un correctif, une vulnérabilité récurrente résulte d un processus informatique défaillant. Dans ce cas, ce processus doit être rectifié. Il est également important de surveiller les vulnérabilités détectables grâce à la normalisation des journaux. Les journaux peuvent indiquer que des correctifs ont été installés et des logiciels désinstallés, et signaler bien d autres types de changements. Les données consignées peuvent également servir à identifier des vulnérabilités puisque les informations sur les versions des applications sont généralement enregistrées dans des journaux au lancement de ces applications. Une analyse individuelle ne donne pas une image complète du niveau de sécurité de l entreprise. Une vue cumulative comprenant plusieurs points de données est alors nécessaire. Dans le secteur de l analyse des vulnérabilités, le concept d analyses individuelles est ancré dans quinze années de sécurité opérationnelle, de missions de consulting et d audits annuels. Avec la surveillance continue, une analyse individuelle ne correspond qu à une infime partie des données à évaluer. Les analyses monolithiques qui tentent de réaliser tous les types de tests peuvent être remplacées par des analyses plus efficaces, notamment si elles sont renforcées par un processus de découverte passive continue avec des capteurs disséminés. L un des principaux aspects de la vue cumulative est que chaque utilisateur de l entreprise autorisé à consulter les données de vulnérabilité d un hôte ou d une ressource peut immédiatement travailler avec les données les plus récentes. Il n y a aucun processus étendu de remontée d incident ou de rédaction pour la transmission des résultats des évaluations de sécurité. Une fois que les administrateurs système ont accès au statut de sécurité d une ressource, ils peuvent travailler sur les toutes dernières vulnérabilités. Cela présente de nombreux avantages par rapport à l analyse distribuée manuelle. Selon la taille et la complexité de votre entreprise, vous pouvez utiliser l ensemble ou certaines de ces technologies pour suivre au quotidien les différents types de risques existants. Plus important encore, si l objectif est d appliquer des correctifs chaque jour, le recours à ce niveau d automatisation et de suivi permet de vérifier les progrès réalisés quotidiennement et de concentrer les efforts sur les éléments qui en ont le plus besoin. 4

5 Comme nous l avons vu dans la section précédente «Priorité à la préparation aux attaques», la détection quotidienne des vulnérabilités peut faciliter le suivi des activités quotidiennes d administration des correctifs. Les progrès réalisés, même lorsqu un seul correctif est appliqué à la fois, peuvent être pris en compte sur les réseaux de grande ampleur. Par exemple, la détection passive de problèmes de sécurité côté client peut être réalisée à grande échelle en vue de générer des tableaux de bord tels que celui-ci : Cette courbe de tendance a été entièrement générée par le biais d une analyse passive. Aucune interaction avec les systèmes cibles, le personnel informatique ou les analyses en cours n a été nécessaire pour constater des progrès dans le suivi avec une réduction quotidienne du nombre de systèmes exploitables (en rouge). Il est également possible de représenter sous forme graphique une grande variété de changements quotidiens sur le réseau. Examinez le tableau de bord ci-dessous qui montre des logiciels clients non pris en charge, des vulnérabilités exploitables côté client et côté serveur, des systèmes présentant des vulnérabilités graves et critiques, et des systèmes affichant un score CVSS de 10 sur une période de trois mois. Unsupported Client Software Trend (tendance concernant les logiciels clients non pris en charge) : ce graphique donne des informations sur les logiciels détectés sur des systèmes clients qui sont devenus obsolètes et ne sont plus pris en charge par l éditeur. Il indique que les clients ont été mis à niveau et ont reçu les versions les plus récentes des logiciels alors qu ils exécutaient à l origine des versions plus anciennes. Exploitable Vulns (vulnérabilités exploitables) : ce graphique affiche le nombre de vulnérabilités exploitables détectées sur la base des groupes de ressources côté serveur et côté client. Systems with High Vulns (systèmes présentant des vulnérabilités graves) : ce graphique affiche le nombre total de vulnérabilités graves et critiques détectées (ligne verte). Les lignes bleue et jaune représentent le nombre total de vulnérabilités graves et critiques détectées sur les clients, mais la vulnérabilité elle-même a été divulguée en 2010 ou

6 Systems with CVSS Scores of 10 (systèmes affichant un score CVSS de 10) : ce graphique affiche le nombre total de vulnérabilités détectées dont le score CVSS est de 10 (ligne verte). Les lignes bleue et jaune représentent le nombre total de vulnérabilités affichant un score CVSS de 10 qui ont été détectées sur les clients, mais la vulnérabilité elle-même a été divulguée en 2010 ou La possibilité de visualiser ces données d application de correctifs en quasi-temps réel et d afficher les tendances à long terme permet aux entreprises de toutes tailles de suivre leurs progrès quotidiens en direction de l optimisation de leur profil de sécurité. Étape 4 Classement personnel Des gestionnaires de risques, des administrateurs informatiques, des propriétaires de ressources et bien d autres types de «propriétaires» politiques et administratifs peuvent être associés à des «ressources». Plus important encore, lorsqu un individu est associé à une ressource, les problèmes peuvent être évalués de différentes façons, ce qui permet à l entreprise de disposer de moyens différents de mesurer l efficacité d un individu, ou d un groupe dont un individu à la charge, dans la gestion des risques. Chaque définition de ressource peut être une liste d adresses IP ou de noms DNS. Des combinaisons de plages d adresses réseau peuvent également être utilisées. Vous pouvez constituer des listes en les important manuellement d autres systèmes, en les extrayant de ressources LDAP (Active Directory) et en les définissant sur la base des résultats d analyses passives ou actives. Des règles performantes permettent de réaliser un traitement avancé sur les données d analyse afin de créer des listes reposant sur les informations détaillées des analyses, par exemple pour répertorier tous les systèmes IPv4 ayant un port ouvert, un nom de domaine donné, des systèmes d exploitation non autorisés, etc. Les ressources peuvent également être regroupées, ce qui s avère utile pour identifier les ressources qui se recoupent. Par exemple, vous pouvez avoir un groupe d «hôtes Windows vulnérables» et croiser ensuite ce groupe avec une liste de ressources organisationnelles, par exemple une liste de ressources se composant de différents domaines Windows. Vous pouvez également créer des référentiels de données de vulnérabilité, ce qui vous permet de combiner différents types de données. Par exemple, si une ressource présente dans une DMZ a fait l objet d une analyse externe et d un audit de correctifs interne, les résultats d analyse doivent certainement être différents. Le processus d analyse externe ne peut probablement pas se connecter pour l analyse, et il est possible que les systèmes analysés soient également protégés par un pare-feu. L analyse interne peut identifier des correctifs manquants non pertinents pour le système, par exemple un correctif MySQL manquant sur un système exécutant uniquement des serveurs Web Apache. Étape 5 Responsabilisation des gestionnaires La dernière recommandation émise par John Streufert dans le cadre d une surveillance continue est de responsabiliser les gestionnaires. Dans les entreprises, il est généralement difficile de déterminer les propriétaires et les systèmes qu ils détiennent, et la sécurité est une notion souvent assez floue. Les réseaux d entreprise sont complexes et il est fréquemment nécessaire de faire des exceptions qui les rendent encore plus complexes. Les audits de sécurité à grande échelle peuvent être simplifiés grâce à des audits en temps réel «basés sur les résultats». Grâce aux audits basés sur les résultats, les entreprises peuvent définir le niveau de sécurité souhaité, puis suivre tous les écarts par rapport à l objectif ainsi fixé. Les résultats peuvent faire l objet d une surveillance en quasi-temps réel, ce qui permet d informer les propriétaires de ressources et les administrateurs système en cas de non-conformité. Par le passé, un administrateur recevait un rapport d analyse de vulnérabilités, déterminait les correctifs à appliquer, puis analysait à nouveau le système pour vérifier qu il était bien sécurisé ; mais cette époque est bientôt révolue. Il y a tout simplement trop de vulnérabilités à corriger et le risque d omettre certains correctifs de sécurité est très élevé. La surveillance continue permet aux administrateurs système de savoir quand ces vulnérabilités sont exploitables, quand l application des correctifs a pris du retard et quand elles présentent un risque selon une directive de gouvernance d entreprise. La notification peut intervenir en temps réel par l envoi de rapports sécurisés par courrier électronique et au moyen de tableaux de bord prédictifs. Les utilisateurs peuvent créer des notifications, des tickets d incident, des messages électroniques, des analyses et des rapports à générer lorsque certaines conditions sont remplies. Il est possible d utiliser une multitude de combinaisons de conditions et d objectifs pour surveiller un réseau en continu. Voici plusieurs exemples : Comptage du nombre de ports périmétriques ouverts et envoi d une alerte en cas de changement Identification du nombre de systèmes dans une DMZ et envoi d une alerte en cas de détection d un nouveau système Envoi d alertes par courrier électronique en cas de détection de systèmes critiques exploitables Création d alertes dans les fenêtres d application des correctifs, par exemple pour annoncer le 15e jour qu une fenêtre de 20 jours approche Identification de la présence de nouvelles vulnérabilités dont les dates de publication sont très anciennes, ce qui indique la mise en production d un système non géré Création d alertes si aucune analyse passive continue des données de vulnérabilité ni aucun audit avec authentification récent n ont été exécutés dans les délais requis 6

7 Pour les communications plus complexes, vous pouvez personnaliser les rapports de manière à transmettre des informations pertinentes aux propriétaires de ressources. Par exemple, il est possible d utiliser les fonctions de détection de systèmes d exploitation et d applications des analyseurs actifs et passifs pour identifier les logiciels «non autorisés» et créer un rapport à envoyer par courrier électronique aux propriétaires des ressources lorsqu une détection est déclenchée. Les alertes utilisées à des fins de surveillance et de supervision par la direction peuvent également être complétées par une surveillance tactique de la part des propriétaires de ressources. Il arrive souvent que les utilisateurs créent des alertes de très haut niveau pour des types particuliers de résultats visés, par exemple l application de tous les correctifs dans un délai de trente jours. Dans le même temps, les administrateurs, gestionnaires de risques et auditeurs informatiques qui surveillent les systèmes tactiques beaucoup plus étroitement peuvent utiliser des alertes de politique pour surveiller de près la sécurité des systèmes. Certaines entreprises utilisent en interne un dispositif d alerte précoce en cas de non-conformité et génèrent des alertes bien avant les autres processus de mesure de leurs équipes. Par exemple, si des analyses sont supposées être exécutées une fois par semaine, une équipe informatique interne peut lancer une analyse tous les deux jours et générer une alerte si aucune analyse n a été réalisée pendant trois jours. Conclusion L automatisation de la collecte et de l analyse des données de vulnérabilité rationalise l ensemble du processus de gestion des vulnérabilités. Elle réduit l intervalle entre les mises à jour et limite tout risque pour les dirigeants et les responsables informatiques de prendre de mauvaises décisions en raison de données anciennes ou incomplètes. À propos de Tenable Network Security Tenable Network Security, leader de la surveillance unifiée de la sécurité, est à l origine de l analyseur de vulnérabilités Nessus et le créateur de solutions professionnelles sans agent pour la surveillance continue des vulnérabilités, des faiblesses de configuration, des fuites de données, de la gestion des enregistrements et de la détection des compromissions, et ce afin d assurer la sécurité des réseaux et la conformité aux réglementations FDCC, FISMA, SANS CAG et PCI. Les produits primés proposés par Tenable sont utilisés par de nombreuses entreprises figurant parmi les plus grandes firmes internationales, ainsi que par de nombreuses administrations afin de minimiser les risques liés au réseau de façon proactive. Pour plus d informations, visitez le site SIÈGE INTERNATIONAL Tenable Network Security Corporate Head office amer@tenable.com EMEA Head office emea@tenable.com +44 (0) APAC Head Office apac@tenable.com 7