NDR
Introductie
Network Detection and Response (NDR) is een cybersecuritytechnologie die netwerkverkeer continu analyseert om afwijkingen, aanvallen, laterale bewegingen en verdachte communicatiepatronen te detecteren. NDR-oplossingen combineren netwerkmonitoring, gedragsanalyse, protocolinspectie en dreigingsdetectie om inzicht te bieden in activiteiten die traditionele beveiligingsmaatregelen mogelijk missen.
Binnen industriële omgevingen speelt NDR een steeds grotere rol vanwege de toenemende IT OT Convergentie, de opkomst van Industrial Internet of Things, externe toegang, cloudconnectiviteit en geavanceerde dreigingen tegen ICS- en OT-netwerken.
In tegenstelling tot klassieke netwerkmonitoring richt NDR zich niet alleen op beschikbaarheid of performance, maar vooral op securitygedrag binnen netwerkcommunicatie. Het doel is het detecteren van:
- Laterale beweging
- Ongebruikelijke communicatie
- Malware-activiteit
- Command-and-control verkeer
- Misbruik van protocollen
- Insider threats
- Ongeautoriseerde toegang
- Exfiltratie van data
Binnen OT-omgevingen wordt NDR vaak gecombineerd met Passive Monitoring, SIEM, SOC en Threat Intelligence.
⚙️ Hoe NDR werkt
Een NDR-platform analyseert netwerkverkeer vanuit verschillende bronnen:
| Bron | Voorbeeld |
|---|---|
| SPAN-poorten | Gespiegelde switchverkeer |
| TAP’s | Passieve netwerkcaptures |
| NetFlow/IPFIX | Flow-gebaseerde metadata |
| Packet capture | Volledige pakketinspectie |
| Cloud traffic | Virtuele netwerken |
| OT-protocollen | Industriële protocolanalyse |
De meeste NDR-platformen werken passief zodat operationele systemen niet worden beïnvloed.
Het analyseproces bestaat doorgaans uit:
- Verzamelen van netwerkdata
- Protocoldecodering
- Opbouwen van gedragsbaselines
- Detecteren van afwijkingen
- Correlatie met dreigingsinformatie
- Incidentanalyse en respons
Moderne oplossingen gebruiken vaak:
- Machine Learning
- Gedragsanalyse
- Statistische afwijkingsdetectie
- Regelgebaseerde detectie
- Signature matching
- AI-gebaseerde classificatie
🌐 Verschil tussen NDR en traditionele netwerkmonitoring
Traditionele netwerkmonitoring richt zich primair op beschikbaarheid en prestaties.
NDR richt zich specifiek op securityanalyse.
| Functionaliteit | Traditionele monitoring | NDR |
|---|---|---|
| Beschikbaarheidsmonitoring | Ja | Beperkt |
| Performance analyse | Ja | Beperkt |
| Security detectie | Beperkt | Uitgebreid |
| Gedragsanalyse | Nee | Ja |
| Threat hunting | Nee | Ja |
| Anomaliedetectie | Beperkt | Hoog |
| Protocolinspectie | Basis | Diepgaand |
| Laterale beweging detectie | Nee | Ja |
NDR bevindt zich functioneel tussen:
🏭 NDR binnen OT-omgevingen
Binnen industriële netwerken heeft NDR specifieke eigenschappen nodig vanwege:
- Deterministisch netwerkgedrag
- Legacy protocollen
- Hoge beschikbaarheidseisen
- Beperkte patchmogelijkheden
- Lange assetlifecycles
- Proprietaire communicatie
OT-specifieke NDR-platformen ondersteunen industriële protocollen zoals:
Hierdoor kunnen OT-gerichte detecties worden uitgevoerd zoals:
| Detectie | Voorbeeld |
|---|---|
| PLC logic wijzigingen | Nieuwe download naar controller |
| Rogue engineering station | Onbekende laptop in OT |
| Protocolmisbruik | Onverwachte write-commands |
| Firmwarewijzigingen | Nieuwe PLC-firmware |
| Laterale beweging | IT-systeem communiceert met PLC |
| Externe toegang | Vendor remote access buiten onderhoudsvenster |
| Scanning | Actieve poortscan in OT |
OT-NDR focust sterk op contextuele analyse van industriële processen.
🔍 Gedragsanalyse en baselining
Een belangrijke functie van NDR is het opbouwen van normale netwerkgedragspatronen.
Voorbeelden van baselines:
- Welke systemen communiceren normaal met elkaar
- Welke protocollen worden gebruikt
- Welke poorten actief zijn
- Welke communicatievolumes normaal zijn
- Welke tijdvensters gebruikelijk zijn
Afwijkingen hiervan kunnen wijzen op:
- Malware
- Misconfiguraties
- Insider threats
- Laterale beweging
- Shadow IT/OT
- Gecompromitteerde systemen
In OT-omgevingen werkt dit vaak goed omdat industriële communicatie relatief voorspelbaar is.
Bijvoorbeeld:
- Een PLC communiceert normaal alleen met SCADA
- Een HMI verstuurt geen DNS-verzoeken naar internet
- Een historian maakt geen SMB-connecties naar engineering stations
Wanneer dergelijke afwijkingen optreden kan NDR alarms genereren.
🛡️ Detectie van laterale beweging
Een van de belangrijkste voordelen van NDR is detectie van laterale beweging binnen netwerken.
Aanvallers bewegen zich na initiële compromittering vaak door het netwerk via:
- RDP
- SMB
- SSH
- WMI
- PowerShell
- Remote management protocollen
Traditionele endpointoplossingen missen soms deze netwerkcontext.
NDR kan detecteren:
- Nieuwe communicatiepaden
- Ongebruikelijke authenticatie
- Verkeer tussen normaal gescheiden zones
- Credential misuse
- Netwerkscans
- Verhoogde protocolactiviteit
Binnen OT-netwerken is laterale beweging bijzonder risicovol omdat één gecompromitteerd engineering station meerdere productielijnen kan beïnvloeden.
⚡ Deep Packet Inspection binnen NDR
Veel NDR-platformen gebruiken DPI om protocollen diepgaand te analyseren.
DPI maakt inzicht mogelijk in:
- Functiecodes binnen Modbus TCP
- PLC-commando’s
- Firmwaretransfers
- Configuratiewijzigingen
- Bestandsuitwisseling
- Ongebruikelijke protocolvelden
Hierdoor kunnen geavanceerde detecties plaatsvinden.
Voorbeeld:
Een standaard firewall ziet alleen TCP-verkeer op poort 502.
Een NDR-platform ziet:
- Welke Modbus-functiecode wordt gebruikt
- Of registers worden gelezen of geschreven
- Welke apparaten betrokken zijn
- Of afwijkend gedrag plaatsvindt
Dit is cruciaal voor OT-security.
🔐 Integratie met SOC en SIEM
NDR-oplossingen worden vaak geïntegreerd met:
De workflow ziet er vaak als volgt uit:
- NDR detecteert afwijkend netwerkgedrag
- Event wordt doorgestuurd naar SIEM
- Correlatie met andere security-events
- Incidentanalyse door SOC
- Automatische respons via SOAR
Binnen convergente IT/OT-omgevingen ontstaat hierdoor één centraal securitybeeld.
🧠 Machine Learning binnen NDR
Veel moderne NDR-platformen gebruiken Machine Learning voor:
- Baseline-analyse
- Clustering van gedrag
- Detectie van onbekende dreigingen
- Prioritering van alerts
- Risicoscores
Voordelen:
- Detectie van zero-day gedrag
- Minder afhankelijk van signatures
- Herkenning van subtiele afwijkingen
Beperkingen:
- Kans op false positives
- Lange leerperiode
- Complexiteit van OT-processen
- Behoefte aan contextvalidatie
Binnen OT blijft menselijke validatie essentieel vanwege operationele impact.
⚠️ Uitdagingen binnen OT-NDR
Hoewel NDR krachtig is, bestaan belangrijke aandachtspunten.
Legacy protocollen
Veel industriële protocollen bevatten:
- Geen encryptie
- Geen authenticatie
- Weinig metadata
- Vendor-specifieke extensies
Dit bemoeilijkt detectie en interpretatie.
Encrypted traffic
Steeds meer verkeer gebruikt TLS of encryptie.
Daardoor wordt DPI moeilijker tenzij:
- Metadata-analyse wordt gebruikt
- SSL-inspectie mogelijk is
- Endpointtelemetrie beschikbaar is
Operationele gevoeligheid
OT-netwerken zijn gevoelig voor:
- Extra latency
- Broadcast storms
- Overmatige monitoring
- Packet loss
Daarom worden NDR-oplossingen vrijwel altijd passief geïmplementeerd.
False positives
Bij afwijkende onderhoudswerkzaamheden kunnen legitieme activiteiten alarms veroorzaken.
Bijvoorbeeld:
- Firmware-updates
- Engineering uploads
- Vendor remote maintenance
- Tijdelijke bypasses
Goede tuning is daarom essentieel.
🏗️ NDR binnen Zero Trust en Defense in Depth
NDR ondersteunt moderne securityarchitecturen zoals:
NDR levert hierbij zichtbaarheid op netwerklaagniveau.
Voorbeelden:
| Securityconcept | Rol van NDR |
|---|---|
| Zero Trust | Verifiëren van communicatiegedrag |
| Segmentatie | Detecteren van ongewenste verbindingen |
| Threat Hunting | Analyse van verdachte flows |
| Incident Response | Forensische netwerkdata |
| Risk Management | Identificeren van risicovolle assets |
⚙️ Praktijkvoorbeeld: waterzuiveringsinstallatie
Een waterbedrijf implementeert NDR binnen een OT-netwerk met:
- SCADA
- PLC
- Historian-servers
- Remote maintenance
- Modbus TCP
Situatie
Een engineering laptop raakt geïnfecteerd via phishing binnen het IT-netwerk.
Detectie
Het NDR-platform detecteert:
- Nieuwe communicatie richting PLC’s
- Afwijkende Modbus write-commands
- Laterale beweging naar OT-zones
- Ongebruikelijke netwerkpaden
Respons
Het SOC:
- Blokkeert netwerktoegang
- Segmenteert getroffen systemen
- Analyseert packet captures
- Controleert PLC-integriteit
Hierdoor wordt procesverstoring voorkomen.
🔄 Verschil tussen NDR, IDS en IPS
| Eigenschap | IDS | IPS | NDR |
|---|---|---|---|
| Detectie | Ja | Ja | Ja |
| Blokkeren | Nee | Ja | Soms |
| Gedragsanalyse | Beperkt | Beperkt | Uitgebreid |
| Machine Learning | Beperkt | Beperkt | Vaak |
| Historische analyse | Beperkt | Beperkt | Uitgebreid |
| OT-context | Variabel | Variabel | Hoog |
| Threat hunting | Nee | Nee | Ja |
NDR is daarmee breder dan klassieke detectiesystemen.
📈 Toekomst van NDR binnen OT
Door verdere digitalisering neemt het belang van NDR toe binnen:
- Industrie 4.0
- Industrial Internet of Things
- Cloudgebaseerde OT-Monitoring
- Smart grids
- Waterbeheer
- Smart manufacturing
Belangrijke trends:
- AI-gebaseerde dreigingsdetectie
- Integratie met XDR
- Cloud-native OT-Monitoring
- Unified visibility
- Asset intelligence
- Autonomous Threat Hunting
NDR wordt steeds meer een kerncomponent van moderne OT-securityarchitecturen.