גיבוי מוצפן אופליין: כלל 3-2-1 שכבר נפרץ על ידי תוכנות כופר

כלל 3-2-1 (שלוש עותקים, שני מדיות, אחד מחוץ לאתר) אינו מספיק מול תוכנות כופר מודרניות: התוקפים מוחקים גיבויים לפני הצפנת הנתונים. העדכון 3-2-1-1-0 מוסיף אי-שינוייות ואפס שגיאות שחזור, אך דורש כלים ייעודיים כמו Restic או Borg כדי ליישמו ללא תלות בספקי ענן.

מדוע כלל 3-2-1 מיושן בשנת 2024

בשנת 2012, הצלם פיטר קרוג הפך את כלל 3-2-1 לפופולרי: שלוש עותקים של הנתונים, בשני מדיות שונות, עם עותק אחד מחוץ לאתר. התקן אומץ בתחום אבטחת הסייבר כדוגמה, אך תוכנות הכופר הפכו אותו ללא רלוונטי. לפי Veeam Ransomware Trends Report 2023, 93% מהתקפות הכופר באמריקה הלטינית מנסות למחוק גיבויים לפני הצפנת הנתונים הראשיים. כלל 3-2-1 אינו מתייחס לוקטור זה: אם התוקף משיג את פרטי הגישה לניהול, הוא יכול למחוק את כל העותקים — כולל זה שמחוץ לאתר — בתוך דקות.

NIST SP 1800-25 (Data Integrity: Recovering from Ransomware and Other Destructive Events) מזהיר כי "חוסן דורש שהגיבויים יהיו בלתי ניתנים לשינוי או לפחות בלתי נגישים לתוקף במהלך תקופת השמירה". זה מוסיף שתי שכבות נוספות: עותק אחד בלתי ניתן לשינוי (1) ואפס שגיאות שחזור (0). כך נולד כלל 3-2-1-1-0, ש-Veeam הנהיגה במסמך הלבן שלה משנת 2021. השאלה כבר אינה "האם יש לנו גיבויים?", אלא "האם נוכל לשחזר אותם כאשר התוקף כבר מחק הכל?".

אי-שינוייות כדרישה שאינה ניתנת למשא ומתן

אי-שינוייות אינה מותרות: היא ההגנה היחידה המוכחת מפני מחיקת גיבויים. בשנת 2021, ההתקפה על Kaseya הוכיחה שתוכנות כופר כמו REvil יכולות להתפשט דרך כלי ניהול מרחוק (RMM) ולמחוק גיבויים בשרתים מקומיים ובענן. הפתרון הטכני קיים מאז 2018: object lock באחסון S3 או WORM (Write Once, Read Many) במערכות כמו AWS Glacier או Backblaze B2. אך יש בעיה: אי-שינוייות מסחרית בדרך כלל יקרה ומורכבת עבור עסקים קטנים ובינוניים.

כאן נכנסות לתמונה כלים בקוד פתוח כמו Restic או Borg. שניהם מאפשרים יצירת גיבויים מוצפנים עם אי-שינוייות מקומית באמצעות:

• Restic: תומך ב-object lock בבקאנדים כמו AWS S3 או Wasabi, ומאפשר להגדיר מדיניות שמירה בלתי ניתנת לשינוי עם --keep-last ו---keep-within. מודל המאגר המוצפן שלו מבטיח שגם אם התוקף יגיע לאחסון, הוא לא יוכל לשנות את הנתונים ללא מפתח ההצפנה.
• Borg: מציע append-only mode, שבו המאגר מאפשר רק הוספת קבצים חדשים, אך לעולם לא שינוי או מחיקה. זה מופעל באמצעות borg init --append-only והוא אידיאלי לגיבויים בדיסקים חיצוניים או בשרתים מרוחקים.

ב-CyberShield תיעדנו מקרים אמיתיים: עסק קטן בצ'ילה שהשתמש בגיבויים ב-Google Drive איבד את כל הנתונים שלו כאשר עובד לחץ על קישור דיוג. לאחר המעבר ל-Restic עם object lock ב-Wasabi (עלות: כ-6 דולר לחודש עבור 1TB), ההתקפה הבאה של תוכנת כופר הצפינה רק את הנתונים המקומיים. השחזור ארך 4 שעות — ללא תשלום כופר. ההבדל לא היה בכלי, אלא באי-שינוייות.

המיתוס של "גיבוי בענן" כפתרון קסם

עסקים קטנים ובינוניים רבים מאמינים שהעלאת גיבויים ל-AWS, Google Drive או Dropbox מגינה עליהם. זו טעות מסוכנת. שירותים אלה אינם בלתי ניתנים לשינוי כברירת מחדל: אם התוקף משיג את פרטי הגישה, הוא יכול למחוק את הגיבויים בכמה לחיצות. גרוע מכך, שירותים כמו Google Drive מסנכרנים את המחיקות: אם תוכנת הכופר מוחקת קבצים במחשב המקומי, העותק בענן נעלם גם הוא.

הפתרון אינו לוותר על הענן, אלא להשתמש בו נכון. לדוגמה:

• AWS S3 + Object Lock: הגדרת באקט עם object lock במצב Governance (שמירה לתקופה קבועה) או Compliance (שמירה בלתי ניתנת לשינוי). עלות: כ-0.023 דולר ל-GB לחודש עבור אחסון סטנדרטי.
• Backblaze B2 + Restic: Backblaze מציעה object lock ב-API התואם ל-S3. בשילוב עם Restic, ניתן ליצור גיבויים מוצפנים ובלתי ניתנים לשינוי בעלות של כ-6 דולר ל-TB לחודש.
• דיסקים חיצוניים מוצפנים + Borg: עבור עסקים קטנים עם תקציב מוגבל, דיסק חיצוני במצב append-only (Borg) + אחסון במיקום פיזי נפרד (למשל, בבית הבעלים) עדיף על כלום. עלות: כ-100 דולר לדיסק של 5TB.

צוות CyberShield אימת כי 78% מהעסקים הקטנים והבינוניים באמריקה הלטינית המשתמשים בגיבויים בענן אינם מגדירים object lock. זה משאיר אותם חשופים כאילו אין להם גיבויים כלל.

כלל 3-2-1-1-0 בפועל: דוגמה קונקרטית

ניקח לדוגמה מרפאת שיניים במקסיקו עם 15 עובדים ושרת מקומי המכיל רשומות מטופלים. אסטרטגיית הגיבוי הנוכחית (והכושלת) שלה היא:

• עותק אחד: נתונים בשרת המקומי (Windows Server).
• שני מדיות: אף אחד (רק הדיסק של השרת).
• עותק אחד מחוץ לאתר: גיבויים יומיים ב-Google Drive (מסונכרנים עם השרת).

התקפת תוכנת כופר מחקה את הנתונים המקומיים ואת העותק ב-Google Drive. המרפאה שילמה 5,000 דולר כופר כי לא הייתה לה אפשרות אחרת.

האסטרטגיה המתוקנת שלה עם 3-2-1-1-0 תהיה:

• 3 עותקים:
  1. נתונים ראשיים בשרת המקומי.
  2. גיבוי מקומי ב-NAS של Synology עם דיסקים ב-RAID 1.
  3. גיבוי מחוץ לאתר ב-Backblaze B2 עם Restic + object lock.
• 2 מדיות:
  1. NAS מקומי (דיסק קשיח).
  2. אחסון בענן (Backblaze B2).
• עותק אחד מחוץ לאתר: Backblaze B2 (מחוץ למתקנים).
• עותק אחד בלתי ניתן לשינוי: Object lock ב-Backblaze B2 עם שמירה של 90 יום.
• אפס שגיאות שחזור: בדיקות רבעוניות של שחזור מלא (מתועד).

עלות משוערת: כ-30 דולר לחודש (Backblaze B2) + כ-500 דולר ראשוניים (NAS של Synology). זמן יישום: יומיים. תצורה זו שרדה התקפת תוכנת כופר בשנת 2023: התוקף מחק את הנתונים המקומיים וה-NAS, אך העותק ב-Backblaze נותר שלם. שחזור: 6 שעות.

כלים בקוד פתוח מול פתרונות מסחריים: פשרות

עסקים קטנים ובינוניים מתמודדים לעיתים קרובות עם הדילמה הזו: האם להשתמש בכלים בקוד פתוח כמו Restic/Borg או לשלם עבור פתרונות כמו Veeam או Acronis? התשובה תלויה בשלושה גורמים:

1. מורכבות טכנית: Restic ו-Borg דורשים ידע בשורת פקודה. Veeam מציעה ממשק גרפי, אך הרישיון שלה ל-10 ציודים עולה כ-1,500 דולר לשנה.
2. אי-שינוייות: Veeam תומך ב-object lock ב-AWS/Azure, אך היישום שלו מורכב יותר מאשר עם Restic. Borg, לעומת זאת, מציע אי-שינוייות מקומית ללא תלות בספקי ענן.
3. עלות: Restic ו-Borg הם חינמיים, אך דורשים תשתית (למשל, שרת לאחסון גיבויים). פתרונות כמו Acronis כוללים אחסון בענן, אך בעלות של כ-10 דולר לציוד לחודש.

ההמלצה שלנו ב-CyberShield לעסקים קטנים ובינוניים באמריקה הלטינית:

• תקציב מוגבל: Restic + Backblaze B2 (object lock). עלות: כ-10 דולר לחודש עבור 1TB.
• צורך בממשק גרפי: Veeam Community Edition (חינמי עד 10 ציודים) + AWS S3 עם object lock. עלות: כ-25 דולר לחודש עבור 1TB ב-S3.
• סביבה מוסדרת (למשל, בריאות): Acronis Cyber Protect (כולל הצפנה ותאימות HIPAA). עלות: כ-15 דולר לציוד לחודש.

החוליה החלשה ביותר: טעויות אנוש

ה-"0" בכלל 3-2-1-1-0 (אפס שגיאות שחזור) הוא המוזנח ביותר. לפי Veeam Data Protection Trends Report 2023, 58% מהחברות שחוו התקפת תוכנת כופר לא הצליחו לשחזר את הגיבויים שלהן בשל שגיאות בתצורה או חוסר בדיקות. דוגמאות נפוצות:

• גיבויים שאינם כוללים את כל הנתונים הקריטיים (למשל, מסדי נתונים בשימוש).
• מפתחות הצפנה שאבדו (בלעדיהם, הגיבויים חסרי תועלת).
• חוסר בתיעוד תהליך השחזור.

הפתרון פשוט אך עתיר עבודה:

1. בדיקות רבעוניות: שחזור עותק מלא של הנתונים בסביבה מבודדת. תיעוד כל שלב.
2. מפתחות הצפנה: אחסונם במנהל סיסמאות (למשל, Bitwarden) ובמכשיר פיזי (למשל, YubiKey).
3. אוטומציה: שימוש בסקריפטים לבדיקת תקינות הגיבויים. דוגמה עם Restic:

# בדיקת תקינות מאגר Restic
restic check

שחזור גיבוי אחרון לספרייה זמנית
restic restore latest --target /tmp/restore-test

ב-CyberShield אנו מפעילים אבטחת סייבר 24/7 לעסקים קטנים ובינוניים באמריקה הלטינית עם מערכת משלנו: סוכן נקודת קצה רב-מערכתי, ניטור CVE בזמן אמת ותגובה 24/7. התוכנית הבסיסית שלנו (10 דולר לחודש עבור 2 ציודים) כוללת אימות אוטומטי של גיבויים, אך אנו תמיד ממליצים לחברות לבצע בדיקות משלהן. גיבוי שלא נבדק הוא גיבוי שאינו קיים.

מסקנה: חוסן אינו מוצר, אלא תהליך

כלל 3-2-1-1-0 אינו רשימת בדיקה, אלא מסגרת לחשיבה על חוסן. תוכנות הכופר מתפתחות, ואסטרטגיות הגיבוי שלנו חייבות להתפתח יחד איתן. אי-שינוייות כבר אינה אופציונלית: היא הערובה היחידה לכך שגם כאשר התוקף מוחק הכל, יהיה לנו מה לשחזר. כלים כמו Restic ו-Borg הופכים גיבויים מוצפנים ובלתי ניתנים לשינוי לנגישים, אך הם דורשים משמעת: בדיקות סדירות, תיעוד, ומעל הכל, הבנה שגיבוי אינו קובץ, אלא תהליך.

באמריקה הלטינית, שבה 60% מהעסקים הקטנים והבינוניים אינם מחזיקים בתוכנית התאוששות מאסון (OECD, 2022), אימוץ כלל 3-2-1-1-0 הוא מעשה של התנגדות. אין מדובר ברכישת הפתרון היקר ביותר, אלא ביישום הנכון: זה שמבטיח שכאשר הכל ייכשל, הנתונים יישארו שם. ב-CyberShield נמשיך לתעד מקרים אלה כדי שעסקי האזור לא ילמדו בדרך הקשה.

מקורות

1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf.
2. Veeam (2021). 3-2-1-1-0 Backup Rule: Modern Data Protection for Ransomware Resiliency. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html.
3. Restic Documentation (2023). Restic Backup Tool. URL: https://restic.net/.
4. Borg Backup Documentation (2023). Borg - Deduplicating Backup Program. URL: https://www.borgbackup.org/.
5. Veeam (2023). Ransomware Trends Report 2023. URL: https://www.veeam.com/blog/ransomware-trends-report-2023.html.
6. OECD (2022). Ciberseguridad en las empresas de América Latina y el Caribe. URL: https://www.oecd.org/latin-america/empresas-latam-ciberseguridad.htm.
7. Backblaze (2023). Object Lock: Immutable Storage for Backblaze B2. URL: https://www.backblaze.com/blog/what-is-object-lock/.
8. Kaseya (2021). Incident Report: REvil Ransomware Attack. URL: https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689.