Wat is Passive Monitoring?
Passive Monitoring is een observatiemethode waarbij netwerkverkeer wordt geanalyseerd zonder actief in te grijpen of pakketten te verzenden. Het biedt zicht op wat er op het netwerk gebeurt, zonder het productieproces te verstoren.
In OT-omgevingen is Passive Monitoring cruciaal, omdat veel systemen legacy, fragiel of Real-time zijn en dus niet bestand zijn tegen actieve scans.
🧠 Waarom is Passive Monitoring belangrijk in OT?
| OT-uitdaging | Passive Monitoring biedt |
|---|---|
| Kwetsbare PLC’s en HMI’s | Veilige zichtbaarheid zonder risico op verstoring |
| Gebrek aan documentatie | Automatisch detecteren van apparaten, protocollen en communicatie |
| Shadow OT | Onbekende assets of verbindingen worden zichtbaar |
| Malware of anomalieën onopgemerkt | Realtime gedragsanalyse zonder endpointinstallatie |
🔍 Wat wordt gemonitord?
| Onderdeel | Voorbeelden |
|---|---|
| Devices | PLC’s, HMI’s, sensors, engineering stations |
| Communicatieprotocollen | Modbus, S7 Comm, OPC UA, ProfiNET, Ethernet IP |
| Netwerkgedrag | Frequentie, timing, hertransmissies, ongewone commando’s |
| Asset-informatie | Serienummers, firmwareversies, vendorinformatie |
| Verbindingspatronen | Welke apparaten communiceren met wie en hoe vaak |
🛠️ Hoe wordt Passive Monitoring uitgevoerd?
| Methode | Beschrijving |
|---|---|
| SPAN-poort (switch mirror) | Verkeer wordt gekopieerd naar monitoringapparaat |
| TAP (Test Access Point) | Fysieke ‘splitsing’ van netwerkverkeer zonder latency |
| Inline sniffer | Apparatuur zoals Nozomi, Claroty, Tenable.ot, ForeScout |
| Sensor in OT-zone | Sensor in L2-zone die alleen observeert (géén IP-interactie) |
🔐 Beveiligingsinzichten via Passive Monitoring
| Gedrag | Mogelijke interpretatie |
|---|---|
| Nieuw apparaat op netwerk | Shadow IT of ongeautoriseerde toegang |
| Ongebruikelijk protocolverkeer | Malware, misconfiguratie of aanvallersactiviteit |
| Onregelmatige polling of schrijfacties | Potentiële manipulatie van PLC’s of spoofing |
| Externe communicatie | Illegale remote access of data-exfiltratie |
| Veranderingen in firmwareversie | Ongedocumenteerde updates of supply chain-incidenten |
✅ Best practices
- Gebruik SPAN/TAP in segmenten met kritieke assets
- Combineer met Asset Inventory en Anomaliedetectie
- Integreer met SIEM of SOC voor alarmering en logging
- Monitor ook tijdens onderhoudsvensters (tijdelijke kwetsbaarheden)
- Leg duidelijke rollen en verantwoordelijkheden vast in Monitoringbeleid
📌 Samengevat
Passive Monitoring is dé manier om veilig inzicht te krijgen in OT-netwerken, zonder de stabiliteit van productie of processen in gevaar te brengen. Het is een essentiële pijler binnen Defense in Depth en IEC 62443-architecturen.