Il monitoraggio passivo è la pratica di osservare dispositivi, traffico o log senza inviare comandi, iniettare pacchetti o altrimenti modificare lo stato del sistema osservato. Nella sicurezza informatica, ciò significa solitamente ascoltare il traffico di rete, raccogliere flussi mirrorati o leggere la telemetria esistente proveniente da sensori e log.
È importante perché la visibilità più sicura negli ambienti sensibili è spesso quella meno invasiva. Nelle reti OT e in altre reti critiche per la disponibilità, la scansione o il probing attivi possono interrompere dispositivi fragili, attivare allarmi o influire sui processi fisici. Il monitoraggio passivo aiuta i difensori a mappare le risorse, rilevare comunicazioni insolite e individuare malware o accessi non autorizzati, riducendo al minimo il rischio operativo. Anche gli aggressori traggono vantaggio dall'osservazione passiva durante la ricognizione, ma i difensori usano lo stesso principio per mantenere una consapevolezza situazionale continua e discreta.