Тут главное не гоняться за жёстким контролем с первого шага. В OT-сети безагентное обнаружение и пассивный мониторинг — это почти как броня: сначала узнаёшь, кто и что, а уже потом включаешь ограничения. Резкие заморозки могут легко запороть процесс, а вот постепенный подход с построением понимания сети реально спасает. Главное — чтобы NAC не ломал, а помогал работать.