Wat is Session Recording?
Session Recording is het vastleggen en opslaan van beheersessies (bijv. RDP, SSH, console) op systemen met verhoogde rechten. Het maakt het mogelijk om exact te zien wat een gebruiker heeft gedaan, wanneer, op welk systeem en met welk doel.
In OT-omgevingen is dit essentieel voor traceerbaarheid, incidentonderzoek en Compliance, vooral bij externe toegang tot systemen zoals PLC’s, SCADA of Engineering Stations.
🎯 Doel van Session Recording
| Doel | Uitleg |
|---|---|
| Audittrail | Nauwkeurige reconstructie van beheeracties |
| Forensisch onderzoek | Ondersteuning bij het analyseren van incidenten of sabotage |
| Compliance | Voldoen aan eisen uit o.a. IEC 62443, NIS2, ISAE 3402 |
| Toezicht | Controleren van externe leveranciers of tijdelijke beheerders |
| Training & kwaliteitscontrole | Gebruik van opnames voor awareness of evaluatie van werkwijzen |
🧠 Wat wordt er opgenomen?
| Type data | Beschrijving |
|---|---|
| Video (screen capture) | Exacte weergave van schermactiviteit (meest bruikbaar bij RDP/GUI) |
| Keystroke logging | Getypte commando’s (vooral bij SSH of command-line sessies) |
| Metadata | Gebruikersnaam, tijdstip, IP-adres, systeemnaam |
| Event markers | Tags bij verdachte of kritieke acties (bv. config-change, file-copy) |
🔐 Koppeling met PAM
Session Recording is vaak onderdeel van een PAM-platform en verloopt dan via:
- Jump Server of proxy tussen beheerder en doelapparaat
- Just-in-Time Access of Approval Workflow
- Automatische opslag in een versleuteld archief
- Mogelijkheid tot live meekijken (real-time monitoring)
🏭 Toepassing in OT-omgevingen
| Situatie | Voorbeeld van opname |
|---|---|
| Remote toegang tot SCADA | RDP-opname van externe engineer die instellingen wijzigt |
| Firmware-upgrade op PLC | SSH-sessie inclusief commando’s en terugkoppeling |
| Beheer van Firewall of switch | Logging van config changes en interfacebeheer |
| On-site access via Engineering Station | Detectie van ongeautoriseerde handelingen tijdens servicebeurt |
✅ Best practices
- Informeer gebruikers dat sessies worden opgenomen (AVG)
- Sla opnames versleuteld en minimaal 90 dagen op
- Implementeer event tagging voor kritieke acties
- Integreer met SIEM voor alerting bij afwijkend gedrag
- Combineer met 2FA, PAM en Least Privilege voor volledige beheerscontrole
- Geef alleen bevoegde auditoren toegang tot recordings
📌 Samengevat
Session Recording biedt zichtbaarheid en controle over beheertoegang tot kritieke OT- en IT-systemen. Het is een essentieel onderdeel van verantwoorde Cybersecurity en risicoverantwoording in industriële omgevingen.