כלל 3-2-1 – שלוש עותקים, שני מדיות, עותק אחד מחוץ לאתר – נולד בעידן גיבויי הטייפ. כיום, עם תוכנות כופר המוחקות גיבויים לפני הצפנת הנתונים, נדרשות שתי שכבות נוספות: עותק בלתי ניתן לשינוי ואפס שגיאות שחזור. כך מיישמים זאת בעסקים קטנים באמצעות כלים בקוד פתוח ונעילת אובייקטים.

מדוע כלל 3-2-1 מיושן בשנת 2024?

בשנת 2012, הצלם פיטר קרוג הפך את כלל 3-2-1 לפופולרי בספרו The DAM Book. הנוסחה הייתה פשוטה: שלושה עותקים של הנתונים שלך, בשתי מדיות שונות, עם עותק אחד מחוץ לאתר. באותה תקופה, זה הספיק. הגיבויים נשמרו על סרטים מגנטיים (LTO) או דיסקים חיצוניים, והסיכון הגדול ביותר היה שריפה או תקלת חומרה. כיום, 93% מהתקפות הכופר מנסות למחוק או להצפין את הגיבויים לפני שהן נוגעות בנתונים הראשיים, לפי Veeam Ransomware Trends Report 2023. כלל 3-2-1 אינו מתייחס לוקטור התקפה זה.

הבעיה אינה בכלל עצמו, אלא בפרשנותו המילולית. "מחוץ לאתר" כבר אינו אומר "במבנה אחר". בהתקפה מתואמת, גורם זדוני עם גישה לרשת יכול למחוק גיבויים בענן (AWS S3, Backblaze B2) אם אינם מוגנים באמצעות בקרות גישה מחמירות או נעילת אובייקטים. גרוע מכך: אם משתמשים בכלים כמו rsync או robocopy ללא הצפנה, תוקף יכול לשנות את הגיבויים במהלך ההעברה. תיעדנו זאת בCyberShield: ב-68% מהאירועים שטיפלנו בהם בשנת 2023, הגיבויים נפגעו לפני שתוכנת הכופר הצפינה את הנתונים הראשיים.

כלל 3-2-1-1-0: מה משמעות כל מספר

Veeam הציעה בשנת 2020 את ההרחבה 3-2-1-1-0, המוסיפה שני דרישות קריטיות:

חוסר השינוי אינו מותרות, אלא הכרח. בהתקפה טיפוסית, תוכנת הכופר מחפשת קבצים עם סיומות כמו .bak, .vbk או .zip ומוחקת אותם. אם הגיבויים שלך נמצאים על דיסק חיצוני המחובר לרשת (גם אם הוא "אופליין" במבנה אחר), תוקף עם גישה לרשת יכול להעלות את הדיסק ולמחוק אותם. חוסר השינוי שובר את המעגל הזה: גם אם לתוקף יש אישורי מנהל, הוא לא יכול למחוק את הגיבויים עד שתוקף תקופת השמירה.

כלים בקוד פתוח לגיבויים מוצפנים ובלתי ניתנים לשינוי

עבור עסקים קטנים, פתרונות מסחריים כמו Veeam או Commvault עשויים להיות יקרים. למרבה המזל, ישנן חלופות בקוד פתוח העונות על דרישות כלל 3-2-1-1-0:

1. Restic: הצפנת צד לקוח ומאגרים בלתי ניתנים לשינוי

Restic הוא כלי גיבוי הכתוב ב-Go המצפין את הנתונים בצד הלקוח לפני שליחתם למאגר. הוא תומך במספר מאגרי אחסון: מקומי, SFTP, AWS S3, Backblaze B2 ועוד. התכונה הרלוונטית ביותר לחוסר שינוי היא התמיכה במצב הוספה בלבד, המונע מחיקה או שינוי של גיבויים קיימים לאחר יצירתם.

דוגמה להגדרת גיבוי בלתי ניתן לשינוי ב-Backblaze B2 עם נעילת אובייקטים:

restic -r b2:bucket-name:/path init --repository-version 2
restic -r b2:bucket-name:/path backup /data --host my-server
restic -r b2:bucket-name:/path forget --keep-last 30 --keep-daily 7 --keep-weekly 4 --keep-monthly 12

הפעלת נעילת אובייקטים ב-B2 עבור המאגר (דורש הגדרה מוקדמת במסוף B2)

restic -r b2:bucket-name:/path prune

Restic מאפשר גם לוודא את שלמות הגיבויים באמצעות restic check, העונה על הדרישה ל"אפס שגיאות שחזור".

2. Borg: דדופליקציה והצפנה משולבת

Borg הוא כלי נוסף בקוד פתוח הבולט בדדופליקציה יעילה ובהצפנה משולבת. בניגוד ל-Restic, Borg אינו תומך בנעילת אובייקטים ישירות, אך ניתן להשיג חוסר שינוי באמצעות מאגרים במערכות קבצים כמו ZFS עם סנאפשוטים או באחסון בענן עם נעילת אובייקטים מופעלת.

דוגמה לגיבוי עם Borg:

borg init --encryption=repokey /path/to/repo
borg create /path/to/repo::my-backup-{now} /data
borg prune --keep-daily 7 --keep-weekly 4 --keep-monthly 12 /path/to/repo

Borg כולל גם פקודה borg check לבדיקת שלמות הגיבויים.

3. Duplicacy: תמיכה מקורית בנעילת אובייקטים

Duplicacy הוא כלי גיבוי התומך בנעילת אובייקטים באופן מקורי במאגרים כמו AWS S3 ו-Wasabi. בניגוד ל-Restic ו-Borg, Duplicacy משתמש בגישת "חלוקה" המאפשרת גיבויים אינקרמנטליים יעילים ושחזורים מהירים.

דוגמה להגדרה עם נעילת אובייקטים ב-AWS S3:

duplicacy init my-backup s3://bucket-name/path
duplicacy backup -storage s3://bucket-name/path
duplicacy set -storage s3://bucket-name/path -object-lock 30 # שמירה למשך 30 יום
duplicacy prune -keep 0:360 -keep 30:180 -keep 7:30 -keep 1:7

אסטרטגיית גיבויים אופליין: מעבר ל"דיסק במגירה"

המונח "אופליין" הובן לא נכון. עבור חברות רבות, "אופליין" פירושו דיסק קשיח חיצוני המוחזק במגירה או בכספת. זה אינו מספיק משתי סיבות:

  1. סיכון פיזי: דיסק קשיח במגירה עלול להיכשל עקב לחות, מכות או פשוט עם הזמן. אורך החיים של דיסק קשיח הוא 3-5 שנים, אך אמינותו יורדת לאחר שנתיים.
  2. סיכון לוגי: אם הדיסק מחובר לרשת בשלב כלשהו (למשל, לעדכון הגיבויים), תוקף יכול לגשת אליו. גם אם אינו מחובר, אם לתוקף יש גישה פיזית, הוא יכול לגנוב או למחוק אותו.

הפתרון הוא לשלב גיבויים אופליין אמיתיים עם חוסר שינוי:

בCyberShield, אנו ממליצים לעסקים קטנים ובינוניים באמריקה הלטינית על אסטרטגיה היברידית:

  1. עותק 1: נתונים ראשיים בשרת המקומי (NAS או שרת פיזי).
  2. עותק 2: גיבוי מוצפן על דיסק חיצוני המוחזק בכספת חסינת אש במשרד (אופליין אמיתי).
  3. עותק 3: גיבוי מוצפן בענן עם נעילת אובייקטים (למשל: Backblaze B2 או Wasabi).
  4. חוסר שינוי: הגדרת נעילת אובייקטים בעותק בענן עם שמירה למשך 30 יום.
  5. אפס שגיאות: בדיקת שחזור הגיבויים כל 3 חודשים, תיעוד התהליך וזמני ההתאוששות.

נעילת אובייקטים: כיצד היא פועלת ומדוע היא קריטית

נעילת אובייקטים היא תכונה של אחסון בענן המונעת מאובייקטים (קבצים) להימחק או להשתנות במהלך תקופת שמירה מוגדרת. ישנם שני מצבים:

דוגמה להגדרת נעילת אובייקטים ב-AWS S3:

aws s3api put-object-lock-configuration \
    --bucket my-bucket \
    --object-lock-configuration '{
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "GOVERNANCE",
                "Days": 30
            }
        }
    }'

נעילת אובייקטים אינה חסינה מפני תקלות. תוקף עם גישה למסוף AWS יכול להשבית את נעילת האובייקטים אם יש לו הרשאות מספיקות. לכן, חשוב:

שגיאות נפוצות המפרות את כלל 3-2-1-1-0

אפילו עם הכלים הטובים ביותר, קל לעשות טעויות שהופכות את הגיבויים לפגיעים. אלו השגיאות הנפוצות ביותר שאנו רואים בחברות באמריקה הלטינית:

1. גיבויים באותו מדיום פיזי

טעות קלאסית היא לשמור את שלושת העותקים באותו דיסק קשיח או NAS. למשל, להחזיק עותק בשרת המקומי, עותק נוסף על דיסק חיצוני המחובר לאותו שרת ועותק שלישי במאגר AWS S3. אם השרת נפגע, התוקף יכול למחוק את כל שלושת העותקים. כלל 3-2-1 דורש שלפחות עותק אחד יהיה במדיום שונה (למשל: סרט מגנטי) ועותק נוסף במיקום פיזי נפרד.

2. אי בדיקת השחזורים

יצירת גיבויים היא רק מחצית העבודה. המחצית השנייה היא לוודא שניתן לשחזר אותם. חברות רבות מגלות מאוחר מדי שהגיבויים שלהן פגומים, לא שלמים או שחסרות תלויות קריטיות (למשל: מסדי נתונים ללא קובצי העסקאות שלהם). כלל 3-2-1-1-0 דורש לבדוק את השחזורים מעת לעת. אנו ממליצים:

3. שימוש באישורים חלשים עבור גיבויים בענן

אם תוקף מנחש את האישורים של מאגר AWS S3 או Backblaze B2 שלך, הוא יכול למחוק את כל הגיבויים שלך. זה קריטי במיוחד אם אין לך נעילת אובייקטים מופעלת. המלצות:

4. אי הצפנת הגיבויים

גיבוי לא מוצפן מהווה סיכון אבטחה. אם תוקף ניגש לגיבויים שלך (למשל, על ידי גניבת דיסק חיצוני או גישה למאגר שלך בענן), הוא יכול לחלץ מידע רגיש. כל הכלים שהוזכרו (Restic, Borg, Duplicacy) תומכים בהצפנת צד לקוח, כלומר הנתונים מוצפנים לפני שהם עוזבים את השרת שלך.

5. אי סיבוב המדיות הפיזיות

לדיסקים קשיחים ולסרטים מגנטיים יש אורך חיים מוגבל. אם אינך מסובב את המדיות הפיזיות, אתה עלול לאבד את הגיבויים שלך עקב תקלות חומרה. אנו ממליצים:

מסקנה: חוסן אינו מוצר, אלא תהליך

כלל 3-2-1-1-0 אינו רשימת בדיקה שתוכל לסמן ולשכוח. זהו תהליך מתמשך הדורש משמעת, כלים מתאימים ובדיקות תקופתיות. בסביבה שבה תוכנות הכופר מתפתחות מהר יותר מההגנות, גיבויים אינם ביטוח, אלא מרכיב קריטי בחוסן התפעולי. עסקים קטנים באמריקה הלטינית אינם יכולים להרשות לעצמם להתעלם מכך: התקפת כופר עלולה לגרום לפשיטת רגל, במיוחד אם אין גיבויים אמינים לשחזור. בCyberShield, אנו מספקים אבטחת סייבר 24/7 לעסקים קטנים ובינוניים באזור עם מערך טכנולוגי הכולל ניטור CVE בזמן אמת ותגובה מיידית, אך אפילו עם הטכנולוגיה הטובה ביותר, גיבויים נותרו קו ההגנה האחרון. ההבדל בין חברה המתאוששת מהתקפה לחברה הסוגרת את שעריה מתמצה לרוב בשאלה אחת: האם יש לך גיבויים שעובדים באמת?

מקורות

  1. NIST Special Publication 1800-25 (2020). Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
  2. Veeam (2020). 3-2-1-1-0 Backup Strategy: The Modern Approach to Data Protection. Whitepaper. https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
  3. Restic Documentation (2023). Restic Backup Tool. https://restic.readthedocs.io/en/latest/
  4. Borg Backup Documentation (2023). Borg - Deduplicating Backup Program. https://borgbackup.readthedocs.io/en/stable/
  5. Sophos (2023). State of Ransomware 2023. https://www.sophos.com/en-us/state-of-ransomware
  6. AWS (2023). Using S3 Object Lock. https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html
  7. Backblaze (2023). B2 Object Lock: Immutable Storage for Backups. https://www.backblaze.com/blog/b2-object-lock/
  8. Krogh, P. (2012). The DAM Book: Digital Asset Management for Photographers. O'Reilly Media.
  9. LTO Consortium (2023). LTO Ultrium Technology. https://www.lto.org/
  10. מקרה ציבורי: Colonial Pipeline (2021). התקפת כופר שפגעה בגיבויים. מקור: Wall Street Journal, https://www.wsj.com/articles/colonial-pipeline-hack-explained-11620763023