Il monitoraggio della sicurezza della rete interna è la pratica di osservare il traffico all'interno della rete di un'organizzazione, non solo al perimetro, per individuare attività non autorizzate, comportamenti anomali o prove di intrusione. Di solito si basa su sensori, log di flusso, ispezione dei pacchetti e regole di rilevamento che cercano connessioni sospette, movimento laterale, esfiltrazione dei dati o abuso dei canali di controllo.
Questo è importante perché molti attacchi hanno successo dopo il primo accesso o punto d'appoggio. Una volta dentro, un aggressore può spostarsi tra gli host, raggiungere i sistemi operativi o nascondersi nel traffico interno che appare normale. Il monitoraggio dei segmenti interni aiuta i difensori a individuare credenziali compromesse, dispositivi non autorizzati e uso improprio dell'accesso remoto prima che i danni si diffondano. Nelle infrastrutture critiche, è particolarmente importante perché le moderne reti industriali e dei servizi essenziali dipendono da sensori connessi, sistemi di gestione e automazione. Un buon monitoraggio interno supporta anche la risposta agli incidenti, conservando log e baseline che mostrano come appare il comportamento “normale”, rendendo più facile investigare e contenere le anomalie.