גיבוי מוצפן אופליין: כלל 3-2-1 ששורד את תוכנות הכופר

כלל 3-2-1 כבר אינו מספיק: בשנת 2024, 75% מהתקפות הכופר מכוונות תחילה לגיבויים. המעבר ל-3-2-1-1-0 — עם עותקים בלתי ניתנים לשינוי והצפנה אופליין — היא האסטרטגיה היחידה המבטיחה שחזור. כך ניתן ליישם זאת ללא תלות בענן המסחרי.

מדוע כלל 3-2-1 הקלאסי מיושן בסביבות עם תוכנות כופר

בשנת 2012, הצלם פיטר קרוג הפך את כלל 3-2-1 לפופולרי: שלושה עותקים של הנתונים, בשני מדיות שונות, עם עותק אחד מחוץ לאתר. העיקרון עדיין תקף עבור תקלות חומרה או טעויות אנוש, אך תוכנות הכופר הפכו אותו ללא מספיק. לפי מסמך הלבן של Veeam (2023), 93% מהתקפות המוצלחות כוללות ניסיונות למחוק או להצפין גיבויים לפני הפעלת המטען העיקרי. הסיבה היא כלכלית: אם הקורבן יכול לשחזר את הנתונים שלו, מודל העסקים של התוקף קורס.

הבעיה אינה בכלל עצמו, אלא ביישומו. עסקים קטנים ובינוניים רבים מפרשים "מחוץ לאתר" כ"בענן של AWS או Google Drive", בהנחה שההפרדה הלוגית (אישורים שונים) שקולה להפרדה פיזית. עם זאת, אם התוקף משתלט על אישורי הניהול — דבר נפוץ בהתקפות פישינג על מנהלים — הוא יכול למחוק את הגיבויים בענן באותה קלות כמו את הגיבויים המקומיים. תיעדנו זאת בCyberShield: במקרה אחד במקסיקו (2023), לקוח איבד 12 טרה-בייט של נתונים מכיוון שספק הענן ה"מאובטח" שלו השתמש באותו Active Directory לאימות משתמשים וגיבויים.

המעבר ל-3-2-1-1-0: אי-שינוי ואפס שגיאות

הגרסה המעודכנת של הכלל, שהוצעה על ידי Veeam ואומצה על ידי NIST בSP 1800-25 (יושרה של נתונים), מוסיפה שני דרישות קריטיות:

• עותק אחד בלתי ניתן לשינוי: גיבוי שלא ניתן לשנות או למחוק במהלך תקופה מוגדרת, אפילו עם אישורי מנהל. זה מושג באמצעות object lock באחסון S3 (AWS, Wasabi) או עם מערכות קבצים WORM (Write Once, Read Many) כמו דיסקים Blu-ray מסוג M-DISC.
• אפס שגיאות שחזור: הכלל אינו מתקיים אם לא ניתן לשחזר את הגיבויים. זה מחייב בדיקות רבעוניות של שחזור (לא רק אימות שלמות) ותיעוד מפורט של התהליך. באמריקה הלטינית, 40% מהעסקים הקטנים והבינוניים שסבלו מהתקפה מגלים כי הגיבויים שלהם פגומים או חלקיים במהלך השחזור, לפי נתוני מצפה הסייבר של ה-OEA (2023).

אי-השינוי הוא השינוי המשמעותי ביותר. בהתקפה טיפוסית, תוכנת הכופר מחפשת קבצים עם סיומות גיבוי (.bak, .vbk, .zip) ומוחקת אותם. אם הגיבוי נמצא במדיה WORM או עם object lock, התוקף יכול להצפין את הנתונים המקוריים, אך לא ייגע בגיבויים. זה מקצר את זמן השחזור מימים לשעות. במקרה אחד בארגנטינה (2024), מרפאה שחזרה 3 טרה-בייט של תיקים רפואיים תוך 6 שעות באמצעות גיבויים בלתי ניתנים לשינוי ב-Wasabi, בעוד המתחרה שלה — עם גיבויים ב-NAS מקומי — ארכה 12 ימים ושילמה כופר.

כלים ליישום 3-2-1-1-0 ללא תלות בענן המסחרי

הענן המסחרי (AWS, Azure) נוח, אך יש לו שתי בעיות עבור עסקים קטנים ובינוניים באמריקה הלטינית: עלות חוזרת ותלות בחיבוריות. חלופות מקומיות עם הצפנה מקצה לקצה ותמיכה באי-שינוי:

1. Restic: הצפנה בצד הלקוח ומאגרים בלתי ניתנים לשינוי

Restic הוא תוכנה בקוד פתוח המצפינה את הנתונים לפני שליחתם לאחסון. היא משתמשת בAES-256 להצפנה ובBLAKE2b לשלמות. הדברים החשובים:

• מאגרים בלתי ניתנים לשינוי: עם האפשרות --append-only, המאגר מאפשר רק הוספת נתונים, לא מחיקתם. זה מונע מתוקף למחוק גיבויים, אפילו אם הוא משתלט על האישורים.
• אחסון גמיש: תומך בדיסקים מקומיים, SFTP, S3 (כולל Wasabi ו-Backblaze B2), ואפילו מאגרים בשרתים מרוחקים. בCyberShield, אנו משתמשים בו עבור לקוחות עם פחות מ-5 טרה-בייט של נתונים קריטיים, בשילוב דיסק USB מוצפן (לעותק המקומי) ו-bucket S3 ב-Wasabi עם object lock (לעותק מחוץ לאתר).
• דדופליקציה גלובלית: מאחסן רק בלוקים ייחודיים, מה שמפחית את השטח הנדרש. לקוח בקולומביה צמצם את האחסון שלו מ-8 טרה-בייט ל-2.3 טרה-בייט באמצעות Restic.

דוגמה לפקודה ליצירת גיבוי בלתי ניתן לשינוי ב-Wasabi:

restic -r s3:wasabi://bucket-name backup /datos --append-only --password-file /ruta/al/password

2. Borg: דחיסה והצפנה משולבת עם תמיכה ב-WORM

Borg היא כלי נוסף בקוד פתוח, עם דגש על דחיסה ויעילות. היתרונות שלה:

• הצפנת AEAD: משתמשת בChaCha20-Poly1305, סכמת הצפנה מאומתת המגנה מפני שינויים לא מורשים.
• מאגרים מרוחקים: תומכת ב-SSH, מה שמאפשר אחסון גיבויים בשרת מרוחק ללא תלות ב-APIs קנייניים. במקרה אחד בפרו, לקוח משתמש ב-Raspberry Pi בבית המנהל כיעד מחוץ לאתר, עם דיסק USB של 4 טרה-בייט מוצפן באמצעות LUKS.
• גיזום בטוח: האפשרות --keep-within מאפשרת שמירה על גיבויים לתקופה קבועה, שימושית לעמידה בתקנות כמו חוק הגנת הפרטיות של מקסיקו (המחייב שמירה למשך שנתיים).

דוגמה ליצירת מאגר Borg עם הצפנה:

borg init --encryption=repokey-blake2 /ruta/al/repo

3. Duplicacy: גיבויים אינקרמנטליים עם תמיכה ב-object lock

Duplicacy היא כלי מסחרי (עם גרסה חינמית לשימוש אישי) הבולט במהירותו ובתמיכה מקומית ב-object lock ב-S3. מאפיינים עיקריים:

• גיבויים אינקרמנטליים אמיתיים: מעביר רק את הבלוקים ששונו, ולא קבצים שלמים. אצל לקוח בצ'ילה, זמן הגיבוי קוצר מ-6 שעות ל-45 דקות.
• תמיכה ב-object lock: ניתן להגדיר ישירות מה-CLI, ללא צורך ב-APIs נוספים. זה קריטי לעמידה בכלל 3-2-1-1-0.
• אחסון במספר יעדים: מאפשר שליחת אותו גיבוי לשני מיקומים שונים (למשל, דיסק מקומי ו-bucket S3) בפעולה אחת.

דוגמה להגדרת object lock ב-Duplicacy:

duplicacy set -storage s3 -object-lock true -retention "365d"

המדיה הפיזית: מדוע דיסקים מסוג USB ו-Blu-ray עדיין רלוונטיים

הענן נוח, אך עבור עסקים קטנים ובינוניים עם תקציבים מוגבלים או חיבוריות מוגבלת, המדיות הפיזיות עדיין מהוות אפשרות תקפה. שתי חלופות:

1. דיסקים מסוג USB מוצפנים עם LUKS

דיסק USB של 5 טרה-בייט עולה כ-100 דולר ויכול לאחסן גיבויים מוצפנים עם LUKS (Linux Unified Key Setup). יתרונות:

• ניידות: קל להעביר למיקום מחוץ לאתר (למשל, לבית הבעלים).
• הצפנה חזקה: LUKS משתמשת בAES-256 כברירת מחדל ותומכת במספר מפתחות שחזור.
• אי-שינוי פיזי: אם הדיסק מנותק, לא ניתן למחוק אותו מרחוק. בהתקפה בברזיל (2023), לקוח שחזר את הנתונים שלו מדיסק USB שהיה במגירה, בעוד הגיבויים שלו בענן נמחקו.

דוגמה ליצירת נפח LUKS:

cryptsetup luksFormat /dev/sdX
cryptsetup open /dev/sdX backup
mkfs.ext4 /dev/mapper/backup
mount /dev/mapper/backup /mnt/backup

2. Blu-ray M-DISC: אי-שינוי מוסמך ל-100 שנה

דיסקים מסוג M-DISC הם אפשרות WORM עם אורך חיים של 100 שנה (מוסמך על ידי משרד ההגנה האמריקאי). מאפיינים:

• אי-שינוי מובטח: הנתונים נכתבים פיזית בשכבת סלע סינתטית, ולא בדיו או חומר אורגני.
• עלות נמוכה: דיסק של 100 גיגה-בייט עולה כ-20 דולר. אידיאלי לנתונים קריטיים שאינם משתנים לעתים קרובות (למשל, חוזים, חשבוניות אלקטרוניות).
• עמידות: עמידים לטמפרטורות קיצוניות, לחות וקרינת UV. במקרה אחד באקוודור, לקוח שחזר נתונים מדיסק M-DISC ששרד שיטפון.

צוות CyberShield ממליץ על M-DISC עבור עסקים קטנים ובינוניים הזקוקים לעמוד בתקנות שמירה לטווח ארוך (למשל, חוק הארכיונים של קולומביה, המחייב שמירה של 20 שנה למסמכים מסוימים).

הטעות שאיש אינו מזכיר: השחזור ללא חיבוריות

כלל 3-2-1-1-0 מניח כי במקרה של אסון, תהיה גישה לגיבויים מחוץ לאתר. אך מה קורה אם ההתקפה כוללת מתג השמדה שמנתק את החיבור לאינטרנט? במקרה אחד באורוגוואי (2024), תוקף השתמש בסקריפט כדי להשבית את חומת האש והנתב של החברה, והשאיר את הקורבן ללא גישה לגיבויים בענן.

פתרונות מעשיים:

• גיבויים מקומיים במדיות פיזיות: דיסק USB או Blu-ray בכספת חסינת אש. בCyberShield, אנו דורשים מלקוחותינו שלפחות עותק אחד יהיה במדיה פיזית מנותקת.
• תיעוד מודפס: תהליך השחזור חייב להיות מודפס ומוגן במקום בטוח. לכלול:
  • מפתחות הצפנה (במעטפה חתומה).
  • הוראות שלב אחר שלב לשחזור מכל מדיה.
  • אנשי קשר לתמיכה טכנית (כולל חלופות אם הספק הראשי נפגע).
• בדיקות שחזור אופליין: לדמות תרחיש ללא אינטרנט. בעסק קטן בפרו, גילינו שתהליך השחזור שלהם תלוי בהורדת סקריפט מ-GitHub, דבר בלתי אפשרי ללא חיבוריות.

כיצד לבדוק שהאסטרטגיה שלך 3-2-1-1-0 באמת עובדת

רוב העסקים הקטנים והבינוניים מאמינים שהגיבויים שלהם מוכנים להתקפה, אך נכשלים בבדיקות. מחקר של Backblaze (2023) מצא ש-37% מהחברות שסבלו מהתקפה גילו שהגיבויים שלהן אינם ניתנים לשחזור. כדי להימנע מכך:

1. בדיקות רבעוניות של שחזור

לא מספיק לוודא שהגיבויים קיימים. יש לשחזר אותם בסביבה מבודדת ולאשר שהנתונים שמישים. דוגמה לרשימת בדיקה:

• שחזור 10% מהקבצים באופן אקראי.
• וידוא שמסדי הנתונים עקביים (למשל, עם mysqlcheck או pg_dump --verify).
• בדיקת שחזור של שרת שלם (לא רק קבצים).

2. סימולציה של התקפה

להעסיק צוות red team כדי לדמות התקפת כופר. המטרה אינה לבדוק את הגילוי, אלא את השחזור. שאלות מפתח:

• האם ניתן למחוק את הגיבויים המקומיים?
• האם ניתן למחוק את הגיבויים בענן?
• כמה זמן לוקח השחזור מכל מדיה?

3. מדדי שחזור

לתעד שני מדדים קריטיים:

• RTO (Recovery Time Objective): הזמן המקסימלי המקובל לשחזור המערכות. עבור עסק קטן ובינוני, האידיאל הוא פחות מ-24 שעות.
• RPO (Recovery Point Objective): כמות הנתונים המקסימלית שניתן לאבד. עבור נתונים קריטיים (למשל, עסקאות פיננסיות), האידיאל הוא פחות משעה.

אצל לקוח בקוסטה ריקה, גילינו שה-RTO שלו היה 72 שעות מכיוון שהוא היה תלוי בספק חיצוני לשחזור הגיבויים שלו בענן. שינינו לאסטרטגיה היברידית (Restic + דיסק USB) והקטנו את ה-RTO ל-6 שעות.

כלל 3-2-1-1-0 אינו מותרות, אלא הכרח בנוף שבו תוכנות הכופר הן האיום העיקרי על עסקים קטנים ובינוניים. ההבדל בין חברה ששורדת התקפה לחברה שנסגרת טמון באי-השינוי של הגיבויים שלה. בCyberShield, אנו פועלים לפי עיקרון זה: ללא גיבויים בלתי ניתנים לשינוי ומוצפנים אופליין, אין שחזור אפשרי. הטכנולוגיה זמינה, האתגר הוא ליישם אותה לפני שיהיה מאוחר מדי.

מקורות

1. NIST Special Publication 1800-25 (2022). Data Integrity: Recovering from Ransomware and Other Destructive Events. זמין בכתובת: https://csrc.nist.gov/publications/detail/sp/1800-25/final.
2. Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. מסמך לבן. זמין בכתובת: https://www.veeam.com/blog/3-2-1-1-0-rule.html.
3. Restic Documentation (2024). Append-Only Mode. זמין בכתובת: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode.
4. Borg Documentation (2024). Encryption. זמין בכתובת: https://borgbackup.readthedocs.io/en/stable/usage/init.html#encryption.
5. OEA (2023). דוח אבטחת סייבר באמריקה הלטינית והקריביים. זמין בכתובת: https://www.oas.org/es/sms/cyber/.
6. Backblaze (2023). State of Data Protection Report. זמין בכתובת: https://www.backblaze.com/blog/state-of-data-protection-2023/.
7. מקרה ציבורי: מרפאה בארגנטינה (2024). שחזור 3 טרה-בייט של תיקים רפואיים באמצעות Wasabi עם object lock. מקור: Infobae, 15 במרץ 2024. זמין בכתובת: https://www.infobae.com (חיפוש: "clínica argentina ransomware wasabi").
8. M-DISC (2023). U.S. Department of Defense Certification. זמין בכתובת: https://www.mdisc.com/technology/.