
実行すべきものだけが実行される。それ以外はすべて拒否される。
オペレーションロックダウン:OT向けの防御ファーストエンドポイント保護
オペレーションロックダウンは、TXOne Stellarのアプリケーション制御および実行防御モデルです。デバイスごとの動作ベースラインが確立されると、そのベースライン外のものはすべて拒否されます。不正な実行ファイル、ファイルレスのスクリプトペイロード、環境寄生型バイナリ、そして新しい攻撃手法が対象です。これが、単一目的のために設計されたエンドポイントが、IT EDRが保護できないレガシーWindowsでも、その目的に専念し続ける方法です。
検知は何かが実行されたと教えてくれます。ロックダウンはそれが決して実行されないことを確実にします。
IT EDRは実行を検知して対応しようとします。OTでは、間違ったコードの実行はラインの停止または設備の損傷を意味します。
オペレーションロックダウンは逆のアプローチを取ります。OTエンドポイントは限定的で決定論的なプロセスセットを実行します。HMIアプリケーション、エンジニアリングワークステーションのバイナリ、PLCプログラミングソフトウェア、既知のオペレーターユーティリティです。そのセット外のものはすべて定義上疑わしいものです。ロックダウンは、ファイルレス攻撃、PowerShellの悪用、Volt-Typhoon型の環境寄生型手法、まだシグネチャのないゼロデイマルウェアを含め、承認済みベースラインにないものの実行をすべて拒否します。

Pages.capabilityEyebrow
オペレーションロックダウンとは?
オペレーションロックダウンは、TXOne Stellarのエンドポイント実行制御モデルです。3つのメカニズムを組み合わせています。アプリケーションロックダウン(承認済みの実行ファイルのみが実行される)、4万以上のOTアプリケーション認識リポジトリ(正規OTソフトウェアが事前分類済み)、そしてCPSDR動作ベースライン強制(プロセス、ファイル、レジストリの動作がデバイスごとのベースラインに一致しなければならない)です。これらが組み合わさって、実行前に新種のおよびファイルレス攻撃をブロックします。カバレッジはWindows 2000からWindows 11に加えLinuxマルウェアスキャンまで及び、再起動不要の導入とアップデートによりエンドポイントセキュリティがOTメンテナンスウィンドウを消費することはありません。ロックダウンはStellar ICSエディション(フル機能)とStellar Kioskの限定形態(最もリソース制約のあるエンドポイント向けのライト版)で利用可能です。
Pages.capabilityChallengesTitle
Pages.capabilityChallengesDescription
01 / 04
シグネチャベースの検知はファイルレス攻撃を見逃す
Volt-Typhoon型の攻撃は、環境寄生型バイナリ(living-off-the-land)、PowerShell、そして正規のシステムユーティリティを使用します。悪意あるファイルはディスクに落ちません。シグネチャベースのツールは何も検知できません。エンドポイントは本来実行すべきでないコードを実行してしまいます。
シグネチャベースの検知はファイルレス攻撃を見逃す
Volt-Typhoon型の攻撃は、環境寄生型バイナリ(living-off-the-land)、PowerShell、そして正規のシステムユーティリティを使用します。悪意あるファイルはディスクに落ちません。シグネチャベースのツールは何も検知できません。エンドポイントは本来実行すべきでないコードを実行してしまいます。
主要コンポーネント
Pages.capabilityComponentsDescription
01 / 05
アプリケーションロックダウン(デフォルト拒否実行制御)
承認済みベースライン内の実行ファイルのみが実行されます。攻撃者によって実行される正規に見えるユーティリティを含め、それ以外のものはすべてカーネルレベルで拒否されます。デフォルト拒否モデルは、新種のマルウェアやゼロデイマルウェアが新しいというだけで実行できないことを意味します。承認リストになければ実行されません。
主要な機能
アプリケーションロックダウン(デフォルト拒否実行制御)
承認済みベースライン内の実行ファイルのみが実行されます。攻撃者によって実行される正規に見えるユーティリティを含め、それ以外のものはすべてカーネルレベルで拒否されます。デフォルト拒否モデルは、新種のマルウェアやゼロデイマルウェアが新しいというだけで実行できないことを意味します。承認リストになければ実行されません。
主要な機能
Pages.capabilityOutcomesLabel
01 / 04
IT EDRより少ないリソース消費
IT EDRより少ないリソース消費
TXOne Stellarのオペレーションロックダウンが選ばれる理由
限定的で決定論的な目的を持つ機械向けに設計されたエンドポイントセキュリティ。検知のみのツールが失敗を記録するところで、防御を実現します。
IT EDRは任意のユーザーソフトウェアを前提とし、正規のノイズの中から悪意ある行為者を検知しようとします。OTエンドポイントは承認済みの狭いセットを持っています。デフォルト拒否が適切なセキュリティ態勢であり、Stellarはそれを徹底します。
Legacy approach creates operational risk
動作強制はベースライン外の動作を示した場合、正規のバイナリでも拒否します。Volt-Typhoon型の手法は、被害が発生する前に悪用パターンがベースラインに違反するため、成功することができません。
Legacy approach creates operational risk
Stellarは2031年までのレガシーOSサポートを確約し、Windows 2000からWindows 11をサポートします。IT EDRツールはこれらのプラットフォームのサポートを打ち切りました。プラント内で最もリスクの高いエンドポイントが、そうでなければ持てなかった動作保護を得られます。
Legacy approach creates operational risk
35社以上のベンダーの4万以上のOTアプリケーションが事前分類済みのため、手動ホワイトリスト化の数日ではなく、最初のベースラインが数分で生成されます。この規模のライブラリを持つ競合他社はありません。
Legacy approach creates operational risk
導入、シグネチャアップデート、ポリシー変更はエンドポイントの再起動なしで適用されます。再起動を必要とするIT EDRツールはOTのメンテナンスウィンドウの制約を満たせません。Stellarは満たします。
Legacy approach creates operational risk
セキュアなメンテナンスモードにより、承認されたエンジニアは保護を全面的に無効化せずに承認された変更を実行できます。緊急停止コントロールはオペレーターが利用可能です。IT EDRにはこれらのOT固有のコントロールはひとつもありません。
Legacy approach creates operational risk
レガシーエンドポイントでオペレーションロックダウンを実証する
Windows XPまたはWindows 7のシステムにStellarエージェントをインストールしてください。4万以上のOTアプリケーションリポジトリを使用してベースライン生成が数分で完了するのを確認し、続いてデフォルト拒否が不正プロセスの試行をブロックするのをご覧ください。再起動なし、生産への影響なし。