TXOne Networks
ヒーロー背景

実行すべきものだけが実行される。それ以外はすべて拒否される。

オペレーションロックダウン:OT向けの防御ファーストエンドポイント保護

オペレーションロックダウンは、TXOne Stellarのアプリケーション制御および実行防御モデルです。デバイスごとの動作ベースラインが確立されると、そのベースライン外のものはすべて拒否されます。不正な実行ファイル、ファイルレスのスクリプトペイロード、環境寄生型バイナリ、そして新しい攻撃手法が対象です。これが、単一目的のために設計されたエンドポイントが、IT EDRが保護できないレガシーWindowsでも、その目的に専念し続ける方法です。

防御ファーストのエンドポイント保護

検知は何かが実行されたと教えてくれます。ロックダウンはそれが決して実行されないことを確実にします。

IT EDRは実行を検知して対応しようとします。OTでは、間違ったコードの実行はラインの停止または設備の損傷を意味します。

オペレーションロックダウンは逆のアプローチを取ります。OTエンドポイントは限定的で決定論的なプロセスセットを実行します。HMIアプリケーション、エンジニアリングワークステーションのバイナリ、PLCプログラミングソフトウェア、既知のオペレーターユーティリティです。そのセット外のものはすべて定義上疑わしいものです。ロックダウンは、ファイルレス攻撃、PowerShellの悪用、Volt-Typhoon型の環境寄生型手法、まだシグネチャのないゼロデイマルウェアを含め、承認済みベースラインにないものの実行をすべて拒否します。

オペレーションロックダウンとは?

Pages.capabilityEyebrow

オペレーションロックダウンとは?

オペレーションロックダウンは、TXOne Stellarのエンドポイント実行制御モデルです。3つのメカニズムを組み合わせています。アプリケーションロックダウン(承認済みの実行ファイルのみが実行される)、4万以上のOTアプリケーション認識リポジトリ(正規OTソフトウェアが事前分類済み)、そしてCPSDR動作ベースライン強制(プロセス、ファイル、レジストリの動作がデバイスごとのベースラインに一致しなければならない)です。これらが組み合わさって、実行前に新種のおよびファイルレス攻撃をブロックします。カバレッジはWindows 2000からWindows 11に加えLinuxマルウェアスキャンまで及び、再起動不要の導入とアップデートによりエンドポイントセキュリティがOTメンテナンスウィンドウを消費することはありません。ロックダウンはStellar ICSエディション(フル機能)とStellar Kioskの限定形態(最もリソース制約のあるエンドポイント向けのライト版)で利用可能です。

Pages.complianceRequirements

Pages.capabilityChallengesTitle

Pages.capabilityChallengesDescription

ファイルレス攻撃手法は現在OTエンドポイントへの支配的な脅威となっている

シグネチャベースの検知はファイルレス攻撃を見逃す

Volt-Typhoon型の攻撃は、環境寄生型バイナリ(living-off-the-land)、PowerShell、そして正規のシステムユーティリティを使用します。悪意あるファイルはディスクに落ちません。シグネチャベースのツールは何も検知できません。エンドポイントは本来実行すべきでないコードを実行してしまいます。

Pages.frameworkKeyComponents

主要コンポーネント

Pages.capabilityComponentsDescription

アプリケーションロックダウン(デフォルト拒否実行制御)

承認済みベースライン内の実行ファイルのみが実行されます。攻撃者によって実行される正規に見えるユーティリティを含め、それ以外のものはすべてカーネルレベルで拒否されます。デフォルト拒否モデルは、新種のマルウェアやゼロデイマルウェアが新しいというだけで実行できないことを意味します。承認リストになければ実行されません。

主要な機能

デフォルト拒否の実行制御
新種マルウェアおよびゼロデイバイナリをブロック
デバイスごとの承認済みアプリケーションリスト
拒否された実行試行のすべての監査証跡
Pages.capabilityOutcomesLabel

Pages.capabilityOutcomesLabel

95%

IT EDRより少ないリソース消費

OT環境でのレガシーWindowsの普及率
レガシーWindowsインシデントを経験したことがある
レガシー資産の攻撃対象領域削減率
認識リポジトリ内のOTアプリケーション数

TXOne Stellarのオペレーションロックダウンが選ばれる理由

限定的で決定論的な目的を持つ機械向けに設計されたエンドポイントセキュリティ。検知のみのツールが失敗を記録するところで、防御を実現します。

TXOneOperations-first

IT EDRは任意のユーザーソフトウェアを前提とし、正規のノイズの中から悪意ある行為者を検知しようとします。OTエンドポイントは承認済みの狭いセットを持っています。デフォルト拒否が適切なセキュリティ態勢であり、Stellarはそれを徹底します。

VS
デフォルト拒否、デフォルト許可ではなく

Legacy approach creates operational risk

TXOneOperations-first

動作強制はベースライン外の動作を示した場合、正規のバイナリでも拒否します。Volt-Typhoon型の手法は、被害が発生する前に悪用パターンがベースラインに違反するため、成功することができません。

VS
ファイルレスおよび環境寄生型攻撃をブロック

Legacy approach creates operational risk

TXOneOperations-first

Stellarは2031年までのレガシーOSサポートを確約し、Windows 2000からWindows 11をサポートします。IT EDRツールはこれらのプラットフォームのサポートを打ち切りました。プラント内で最もリスクの高いエンドポイントが、そうでなければ持てなかった動作保護を得られます。

VS
2031年まで確約されたレガシーカバレッジ

Legacy approach creates operational risk

TXOneOperations-first

35社以上のベンダーの4万以上のOTアプリケーションが事前分類済みのため、手動ホワイトリスト化の数日ではなく、最初のベースラインが数分で生成されます。この規模のライブラリを持つ競合他社はありません。

VS
OTソフトウェアライブラリを内蔵

Legacy approach creates operational risk

TXOneOperations-first

導入、シグネチャアップデート、ポリシー変更はエンドポイントの再起動なしで適用されます。再起動を必要とするIT EDRツールはOTのメンテナンスウィンドウの制約を満たせません。Stellarは満たします。

VS
再起動ゼロ、ダウンタイムゼロ

Legacy approach creates operational risk

TXOneOperations-first

セキュアなメンテナンスモードにより、承認されたエンジニアは保護を全面的に無効化せずに承認された変更を実行できます。緊急停止コントロールはオペレーターが利用可能です。IT EDRにはこれらのOT固有のコントロールはひとつもありません。

VS
プラントの現実に対応したオペレーターコントロール

Legacy approach creates operational risk

Operations-first security that works with your production environment

レガシーエンドポイントでオペレーションロックダウンを実証する

Windows XPまたはWindows 7のシステムにStellarエージェントをインストールしてください。4万以上のOTアプリケーションリポジトリを使用してベースライン生成が数分で完了するのを確認し、続いてデフォルト拒否が不正プロセスの試行をブロックするのをご覧ください。再起動なし、生産への影響なし。