Wat is Anomaliedetectie?
Anomaliedetectie is een detectiemethode waarbij systemen worden gemonitord op afwijkingen van normaal gedrag, in plaats van alleen bekende dreigingen of patronen te herkennen.
In OT-netwerken is anomaliedetectie cruciaal om onbekende of Zero-day-aanvallen, configuratiefouten of ongebruikelijke operaties vroegtijdig te signaleren.
🧠 Hoe werkt Anomaliedetectie?
- Een baselining-fase leert wat “normaal gedrag” is:
- Normale netwerktopologie
- Communicatiepatronen tussen apparaten (bijv. PLC ↔ HMI)
- Frequentie en timing van commando’s
- Real-time monitoring vergelijkt actuele data met het verwachte patroon
- Afwijkingen (anomalieën) worden gemarkeerd als mogelijk verdacht:
- Onbekende apparaten
- Nieuwe of ongebruikelijke commando’s
- Verhoogd verkeer of afwijkende tijden
- Alerts worden geanalyseerd door securityteams of SOAR-playbooks
Anomaliedetectie is essentieel in omgevingen waar signature-based detection (zoals IDS) tekortschiet.
🏭 Toepassing van Anomaliedetectie in OT-omgevingen
- Detectie van nieuwe verbindingen naar een PLC buiten werktijd
- Afwijkend protocolverkeer zoals OPC UA-verzoeken op ongebruikelijke poorten
- Gebruikersactiviteit op een Engineering Station buiten de normale shift
- Plotse wijziging in datapollingfrequentie tussen SCADA en veldapparaten
- Misconfiguraties die normaal verkeer verstoren (bijv. dubbele IP’s)
Veel moderne OT-monitoringtools zoals Claroty, Nozomi of Tenable.ot gebruiken anomaliedetectie als kernfunctie.
🔍 Anomaliedetectie vs. Signatuurdetectie
| Aspect | Anomaliedetectie | Signatuurdetectie |
|---|---|---|
| Detectie van nieuwe dreigingen | Ja – onbekend gedrag wordt gedetecteerd | Nee – alleen bekende patronen |
| Vereist training/baselining? | Ja | Nee |
| False positives | Mogelijk meer bij aanvang | Lager, maar ook lager detectiebereik |
| Toepassing OT | Zeer geschikt voor dynamische OT-omgevingen | Beperkt zonder OT-specifieke signatures |
🔐 Beveiligingsaspecten
- Combineer met SIEM, EDR, Threat Intelligence en MITRE ATT&CK for ICS
- Voer fine-tuning uit om valse meldingen te minimaliseren
- Gebruik vooral in netwerklaag waar Firewall en IDS niet diep genoeg kijken
- Idealiter onderdeel van een Defense in Depth-strategie
- Ondersteunt compliance met IEC 62443, NIS2 en Cybersecurity-richtlijnen
In OT geldt: wat “normaal” is, verschilt sterk per installatie — lokale calibratie is cruciaal.
📌 Samengevat
Anomaliedetectie is een krachtige manier om onbekende, afwijkende of kwaadaardige activiteiten in OT-netwerken op te sporen. Het verhoogt de weerbaarheid tegen moderne dreigingen en helpt incidenten te herkennen vóór ze impact hebben.