Backup criptografado offline: a regra 3-2-1 que sobrevive ao ransomware

A regra 3-2-1 já não é suficiente: em 2024, 75% dos ataques de ransomware miram primeiro nos backups. A evolução para 3-2-1-1-0 — com cópias imutáveis e criptografia offline — é a única estratégia que garante recuperação. Aqui, como implementá-la sem depender da nuvem comercial.

Por que a regra 3-2-1 clássica é obsoleta em ambientes com ransomware

Em 2012, o fotógrafo Peter Krogh popularizou a regra 3-2-1: três cópias dos dados, em dois meios distintos, com uma cópia offsite. O princípio continua válido para falhas de hardware ou erros humanos, mas o ransomware o tornou insuficiente. Segundo o whitepaper da Veeam (2023), 93% dos ataques bem-sucedidos incluem tentativas de apagar ou criptografar backups antes de ativar o payload principal. A razão é econômica: se a vítima consegue restaurar seus dados, o modelo de negócio do atacante colapsa.

O problema não está na regra em si, mas em sua implementação. Muitas PMEs interpretam "offsite" como "na nuvem da AWS ou Google Drive", assumindo que a separação lógica (credenciais distintas) equivale à separação física. No entanto, se o atacante comprometer as credenciais de administração — algo comum em ataques de phishing a executivos —, pode apagar os backups na nuvem com a mesma facilidade que os locais. Documentamos isso em CyberShield: em um caso no México (2023), um cliente perdeu 12 TB de dados porque seu provedor de nuvem "segura" usava o mesmo Active Directory para autenticar usuários e backups.

A evolução para 3-2-1-1-0: imutabilidade e zero erros

A versão atualizada da regra, proposta pela Veeam e adotada pelo NIST no SP 1800-25 (Data Integrity), adiciona dois requisitos críticos:

• 1 cópia imutável: Um backup que não possa ser modificado nem apagado durante um período definido, mesmo com credenciais de administrador. Isso é alcançado com object lock em armazenamento S3 (AWS, Wasabi) ou com sistemas de arquivos WORM (Write Once, Read Many), como os discos Blu-ray M-DISC.
• 0 erros de recuperação: A regra não é cumprida se os backups não puderem ser restaurados. Isso implica testes trimestrais de restauração (não apenas verificação de integridade) e documentação detalhada do processo. Na América Latina, 40% das PMEs que sofrem um ataque descobrem que seus backups estão corrompidos ou incompletos durante a recuperação, segundo dados do Observatório de Cibersegurança da OEA (2023).

A imutabilidade é a mudança mais disruptiva. Em um ataque típico, o ransomware busca arquivos com extensões de backup (.bak, .vbk, .zip) e os apaga. Se o backup estiver em um meio WORM ou com object lock, o atacante pode criptografar os dados originais, mas não tocará nos backups. Isso reduz o tempo de recuperação de dias para horas. Em um caso na Argentina (2024), uma clínica recuperou 3 TB de prontuários médicos em 6 horas usando backups imutáveis no Wasabi, enquanto seu concorrente — com backups em um NAS local — levou 12 dias e pagou resgate.

Ferramentas para implementar 3-2-1-1-0 sem depender da nuvem comercial

A nuvem comercial (AWS, Azure) é conveniente, mas apresenta dois problemas para PMEs na América Latina: custo recorrente e dependência de conectividade. Alternativas locais com criptografia end-to-end e suporte para imutabilidade:

1. Restic: criptografia client-side e repositórios imutáveis

Restic é um software open-source que criptografa os dados antes de enviá-los ao armazenamento. Usa AES-256 para criptografia e BLAKE2b para integridade. Os pontos-chave:

• Repositórios imutáveis: Com a opção --append-only, o repositório só permite adicionar dados, não apagá-los. Isso impede que um atacante elimine backups, mesmo que comprometa as credenciais.
• Armazenamento flexível: Suporta discos locais, SFTP, S3 (incluindo Wasabi e Backblaze B2) e até repositórios em servidores remotos. Em CyberShield, o utilizamos para clientes com menos de 5 TB de dados críticos, combinando um disco USB criptografado (para a cópia local) e um bucket S3 no Wasabi com object lock (para a cópia offsite).
• Deduplicação global: Armazena apenas blocos únicos, reduzindo o espaço necessário. Um cliente na Colômbia reduziu seu armazenamento de 8 TB para 2,3 TB usando Restic.

Exemplo de comando para criar um backup imutável no Wasabi:

restic -r s3:wasabi://bucket-name backup /dados --append-only --password-file /caminho/para/senha

2. Borg: compressão e criptografia integrada com suporte para WORM

Borg é outra ferramenta open-source, com foco em compressão e eficiência. Suas vantagens:

• Criptografia AEAD: Usa ChaCha20-Poly1305, um esquema de criptografia autenticada que protege contra modificações não autorizadas.
• Repositórios remotos: Suporta SSH, permitindo armazenar backups em um servidor remoto sem depender de APIs proprietárias. Em um caso no Peru, um cliente usa um Raspberry Pi na casa do gerente como destino offsite, com um disco USB de 4 TB criptografado com LUKS.
• Pruning seguro: A opção --keep-within permite manter backups por um período fixo, útil para cumprir regulamentações como a Lei de Proteção de Dados Pessoais do México (que exige retenção de 2 anos).

Exemplo de criação de um repositório Borg com criptografia:

borg init --encryption=repokey-blake2 /caminho/para/repo

3. Duplicacy: backups incrementais com suporte para object lock

Duplicacy é uma ferramenta comercial (com versão gratuita para uso pessoal) que se destaca pela velocidade e suporte nativo para object lock em S3. Características principais:

• Backups incrementais verdadeiros: Transfere apenas os blocos modificados, não arquivos completos. Em um cliente no Chile, reduziu o tempo de backup de 6 horas para 45 minutos.
• Suporte para object lock: Configurável diretamente pela CLI, sem necessidade de APIs adicionais. Isso é crítico para cumprir a regra 3-2-1-1-0.
• Armazenamento em múltiplos destinos: Permite enviar o mesmo backup para duas localizações distintas (ex.: um disco local e um bucket S3) em uma única operação.

Exemplo de configuração de object lock no Duplicacy:

duplicacy set -storage s3 -object-lock true -retention "365d"

O meio físico: por que os discos USB e Blu-ray continuam relevantes

A nuvem é conveniente, mas para PMEs com orçamentos limitados ou conectividade restrita, os meios físicos ainda são uma opção válida. Duas alternativas:

1. Discos USB criptografados com LUKS

Um disco USB de 5 TB custa cerca de 100 USD e pode armazenar backups criptografados com LUKS (Linux Unified Key Setup). Vantagens:

• Portabilidade: Fácil de levar para uma localização offsite (ex.: a casa do proprietário).
• Criptografia forte: LUKS usa AES-256 por padrão e suporta múltiplas chaves de recuperação.
• Imutabilidade física: Se o disco estiver desconectado, não pode ser apagado remotamente. Em um ataque no Brasil (2023), um cliente recuperou seus dados de um disco USB que estava em uma gaveta, enquanto seus backups na nuvem foram apagados.

Exemplo de criação de um volume LUKS:

cryptsetup luksFormat /dev/sdX
cryptsetup open /dev/sdX backup
mkfs.ext4 /dev/mapper/backup
mount /dev/mapper/backup /mnt/backup

2. Blu-ray M-DISC: imutabilidade certificada por 100 anos

Os discos M-DISC são uma opção WORM com vida útil de 100 anos (certificada pelo U.S. Department of Defense). Características:

• Imutabilidade garantida: Os dados são gravados fisicamente em uma camada de rocha sintética, não em tinta ou material orgânico.
• Baixo custo: Um disco de 100 GB custa cerca de 20 USD. Ideal para dados críticos que não mudam com frequência (ex.: contratos, notas fiscais eletrônicas).
• Resistência: Suportam temperaturas extremas, umidade e raios UV. Em um caso no Equador, um cliente recuperou dados de um disco M-DISC que sobreviveu a uma inundação.

A equipe do CyberShield recomenda M-DISC para PMEs que precisam cumprir regulamentações de retenção de longo prazo (ex.: a Lei de Arquivos da Colômbia, que exige 20 anos para certos documentos).

O erro que ninguém menciona: a recuperação sem conectividade

A regra 3-2-1-1-0 pressupõe que, em caso de desastre, você terá acesso aos seus backups offsite. Mas o que acontece se o ataque incluir um kill switch que corta a conectividade com a internet? Em um caso no Uruguai (2024), um atacante usou um script para desativar o firewall e o roteador da empresa, deixando a vítima sem acesso aos seus backups na nuvem.

Soluções práticas:

• Backups locais em meios físicos: Um disco USB ou Blu-ray em um cofre à prova de fogo. Em CyberShield, exigimos que nossos clientes tenham pelo menos uma cópia em um meio físico desconectado.
• Documentação impressa: O processo de recuperação deve estar impresso e guardado em local seguro. Incluir:
  • Chaves de criptografia (em um envelope lacrado).
  • Instruções passo a passo para restaurar a partir de cada meio.
  • Contatos de suporte técnico (incluindo alternativas se o provedor principal estiver comprometido).
• Testes de recuperação offline: Simular um cenário sem internet. Em uma PME no Peru, descobrimos que seu processo de recuperação dependia de baixar um script do GitHub, algo impossível sem conectividade.

Como testar se sua estratégia 3-2-1-1-0 realmente funciona

A maioria das PMEs acredita que seus backups estão prontos para um ataque, mas falham nos testes. Um estudo da Backblaze (2023) revelou que 37% das empresas que sofreram um ataque descobriram que seus backups não eram recuperáveis. Para evitar isso:

1. Testes trimestrais de restauração

Não basta verificar se os backups existem. É preciso restaurá-los em um ambiente isolado e confirmar que os dados são utilizáveis. Exemplo de checklist:

• Restaurar 10% dos arquivos aleatoriamente.
• Verificar se os bancos de dados são consistentes (ex.: com mysqlcheck ou pg_dump --verify).
• Testar a restauração de um servidor completo (não apenas arquivos).

2. Simulação de ataque

Contratar uma equipe de red team para simular um ataque de ransomware. O objetivo não é testar a detecção, mas a recuperação. Perguntas-chave:

• Os backups locais podem ser apagados?
• Os backups na nuvem podem ser apagados?
• Quanto tempo leva a recuperação a partir de cada meio?

3. Métricas de recuperação

Documentar duas métricas críticas:

• RTO (Recovery Time Objective): Tempo máximo aceitável para recuperar os sistemas. Para uma PME, o ideal é menos de 24 horas.
• RPO (Recovery Point Objective): Quantidade máxima de dados que podem ser perdidos. Para dados críticos (ex.: transações financeiras), o ideal é menos de 1 hora.

Em um cliente na Costa Rica, descobrimos que seu RTO era de 72 horas porque dependiam de um provedor externo para restaurar seus backups na nuvem. Mudamos para uma estratégia híbrida (Restic + disco USB) e reduziram o RTO para 6 horas.

A regra 3-2-1-1-0 não é um luxo, é uma necessidade em um cenário onde o ransomware é a principal ameaça para as PMEs. A diferença entre uma empresa que sobrevive a um ataque e uma que fecha está na imutabilidade de seus backups. Em CyberShield, operamos sob esse princípio: sem backups imutáveis e criptografados offline, não há recuperação possível. A tecnologia está disponível; o desafio é implementá-la antes que seja tarde demais.

Fontes

1. NIST Special Publication 1800-25 (2022). Data Integrity: Recovering from Ransomware and Other Destructive Events. Disponível em: https://csrc.nist.gov/publications/detail/sp/1800-25/final.
2. Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. Whitepaper. Disponível em: https://www.veeam.com/blog/3-2-1-1-0-rule.html.
3. Restic Documentation (2024). Append-Only Mode. Disponível em: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode.
4. Borg Documentation (2024). Encryption. Disponível em: https://borgbackup.readthedocs.io/en/stable/usage/init.html#encryption.
5. OEA (2023). Relatório de Cibersegurança na América Latina e Caribe. Disponível em: https://www.oas.org/pt/sms/cyber/.
6. Backblaze (2023). State of Data Protection Report. Disponível em: https://www.backblaze.com/blog/state-of-data-protection-2023/.
7. Caso público: Clínica na Argentina (2024). Recuperação de 3 TB de prontuários médicos usando Wasabi com object lock. Fonte: Infobae, 15 de março de 2024. Disponível em: https://www.infobae.com (busca: "clínica argentina ransomware wasabi").
8. M-DISC (2023). U.S. Department of Defense Certification. Disponível em: https://www.mdisc.com/technology/.