גיבוי מוצפן לא מקוון: כלל 3-2-1 ששורד את תוכנות הכופר

כלל 3-2-1 — שלוש עותקים, שני מדיות, עותק אחד מחוץ לאתר — אינו מספיק עוד מול תוקפים המצפינים או מוחקים גיבויים. הגרסה המעודכנת 3-2-1-1-0 מוסיפה אי-שינוייות ואפס שגיאות שחזור, אך דורשת כלים ייעודיים כמו Restic או Borg כדי ליישם אותה ללא תלות בפתרונות ארגוניים יקרים.

מדוע כלל 3-2-1 הקלאסי נכשל מול תוכנות כופר מודרניות

בשנת 2012, הצלם פיטר קרוג הפך את כלל 3-2-1 לסטנדרט דה פקטו לגיבויים. שלושה עותקים של הנתונים, בשתי מדיות שונות, עם עותק אחד מחוץ לאתר. במשך עשור, אסטרטגיה זו הפחיתה את הסיכון לאובדן נתונים עקב תקלות חומרה או טעויות אנוש. אך תוכנות הכופר הנוכחיות הופכות אותה לחסרת תועלת תוך דקות.

קבוצות כמו LockBit או BlackCat לא רק מצפינות נתונים ראשיים: הן מחפשות ומוחקות גיבויים לפני שיגור המתקפה. בדוח Data Integrity: Recovering from Ransomware and Other Destructive Events (NIST SP 1800-25, 2020), ה-NIST מתעד מקרים שבהם התוקפים שהו ברשתות ארגוניות עד 29 ימים לפני הפעלת ההצפנה, זמן מספיק לאיתור ולפגיעה בעותקי גיבוי. כלל 3-2-1 הקלאסי מניח שלפחות עותק אחד ישרוד; תוכנות הכופר המודרניות מבטיחות שאף אחד לא ישרוד.

הבעיה אינה בכלל עצמו, אלא ביישומו. מרבית העסקים הקטנים והבינוניים באמריקה הלטינית מפרשים "מחוץ לאתר" כדיסק חיצוני המאוחסן בבית הבעלים או דלי S3 ללא הגנה נוספת. שתי האפשרויות נגישות מהרשת שנפרצה. כפי שמציין ה-whitepaper 3-2-1-1-0 Backup Strategy של Veeam (2022), "מחוץ לאתר אינו מספיק: הוא חייב להיות לא מקוון ובלתי ניתן לשינוי".

העדכון 3-2-1-1-0: אי-שינוייות ואפס שגיאות

הגרסה המורחבת מוסיפה שני דרישות קריטיות:

• עותק אחד בלתי ניתן לשינוי: מאוחסן במדיה שלא ניתן לשנות או למחוק במשך תקופה מוגדרת (object lock ב-S3, WORM בסרט מגנטי, או מערכות קבצים עם תכונות קריאה בלבד כפויות).
• אפס שגיאות שחזור: אימות אוטומטי שכל גיבוי ניתן לשחזור במלואו, ללא השחתה שקטה.

שני הנקודות הללו הופכות את הגיבוי מ"ביטוח מפני תקלות" ל"מגן מפני סחיטה". האי-שינוייות חוסמת את התוקפים; האימות האוטומטי מונע מהחברה לגלות — מאוחר מדי — שהגיבויים שלה מושחתים. ב-CyberShield תיעדנו מקרים באמריקה הלטינית שבהם עסקים קטנים ובינוניים עם גיבויים "מחוץ לאתר" איבדו נתונים מכיוון שאיש לא בדק את תקינות העותקים עד שהיה צורך לשחזר אותם.

האתגר הטכני הוא ביישום אי-שינוייות ללא תלות בפתרונות ארגוניים כמו Veeam או Commvault, שעולים יותר מ-5,000 דולר בשנה לצוותים קטנים. כאן נכנסות לתמונה כלים בקוד פתוח כמו Restic ו-Borg.

Restic ו-Borg: אי-שינוייות לעסקים קטנים ללא תקציב ארגוני

שני הכלים חולקים מאפיינים מרכזיים עבור כלל 3-2-1-1-0:

• הצפנה בצד הלקוח: הנתונים מוצפנים לפני שהם עוזבים את המכשיר, מה שמגן עליהם גם אם האחסון המרוחק נפגע.
• דדופליקציה גלובלית: מפחיתה את המקום הנדרש עבור עותקים מרובים, קריטי כאשר מטפלים בטרה-בייטים בדיסקים זולים.
• מאגרים בלתי ניתנים לשינוי בעיצוב: לאחר הכתיבה, הנתונים אינם ניתנים לשינוי (אם כי ניתן למחוק אותם, מה שמחייב הגדרה נוספת של object lock).

ההבדל המעשי טמון בגישה:

• Restic (תיעוד רשמי: restic.net) מעדיף פשטות ותאימות רב-פלטפורמית. הפקודה restic backup יוצרת snapshots בלתי ניתנים לשינוי שניתן לשלוח לכל אחסון (SFTP, S3, Backblaze B2, או אפילו דיסק מקומי). עבור אי-שינוייות אמיתית, נדרשת הגדרת object lock ב-backend (למשל, באמצעות מצב GOVERNANCE ב-S3).
• Borg (תיעוד רשמי: borgbackup.org) חזק יותר עבור סביבות לינוקס ומציע דחיסה מובנית, אך עקומת הלמידה שלו תלולה יותר. היתרון שלו טמון ב-archives בלתי ניתנים לשינוי כברירת מחדל: לאחר יצירתם, לא ניתן לשנות אותם מבלי להרוס את המאגר כולו.

מתמודד שלישי, Duplicacy, מוסיף תמיכה מקורית ל-object lock ב-backends כמו Wasabi או Backblaze B2, מה שמפשט את יישום האי-שינוייות. הרישיון המסחרי שלו (החל מ-20 דולר לחודש לצוותים קטנים) עשוי להיות מוצדק עבור עסקים קטנים הזקוקים לתמיכה טכנית.

יישום מעשי: דוגמה עם Restic ו-object lock

נניח שעסק קטן עם 500 גיגה-בייט של נתונים קריטיים (מסדי נתונים, מסמכים משפטיים, חשבוניות אלקטרוניות). אסטרטגיית 3-2-1-1-0 שלו עשויה להיות בנויה כך:

1. 3 עותקים:
   • ייצור (שרת מקומי).
   • גיבוי ראשי (דיסק חיצוני מוצפן עם LUKS, מוחלף מדי שבוע).
   • גיבוי משני (מאגר Restic ב-Backblaze B2 עם object lock).
2. 2 מדיות:
   • דיסק קשיח (גיבוי ראשי).
   • אחסון בענן (גיבוי משני).
3. עותק אחד מחוץ לאתר: הדיסק החיצוני מאוחסן במיקום פיזי אחר (למשל: משרד של שותף בעיר אחרת).
4. עותק אחד בלתי ניתן לשינוי: המאגר ב-Backblaze B2 עם object lock מוגדר ל-90 יום (תקופת שמירה טיפוסית לעמידה בתקנות כמו חוק הגנת הפרטיות במקסיקו או LGPD בברזיל).
5. אפס שגיאות: סקריפט אוטומטי המאמת את תקינות הגיבויים כל 7 ימים באמצעות restic check ושולח התראות במקרה של כישלון.

זרימת העבודה תהיה:

# אתחול מאגר ב-Backblaze B2 עם object lock
restic -r b2:bucket-name:path init --repository-version 2

הפעלת object lock ל-90 יום (דורש הגדרה מוקדמת ב-B2)
b2 update-bucket --defaultRetentionMode governance --defaultRetentionPeriod 90d bucket-name

יצירת גיבוי יומי
restic -r b2:bucket-name:path backup /datos-criticos

אימות תקינות שבועי
restic -r b2:bucket-name:path check --read-data-subset=10%

העלות החודשית לתרחיש זה (500 גיגה-בייט ב-Backblaze B2) תהיה כ-3 דולר לאחסון ועוד דולר אחד לפעולות, הרבה מתחת לפתרונות ארגוניים.

הפשרה שאיש לא מדבר עליה: מורכבות מול חוסן

כלל 3-2-1-1-0 אינו פתרון "התקן ושכח". הוא דורש:

• ידע טכני: הגדרת object lock ב-S3 או Backblaze אינה אינטואיטיבית. טעויות כמו שימוש במצב COMPLIANCE במקום GOVERNANCE עלולות לחסום את מחיקת הגיבויים אפילו עבור המנהל.
• משמעת תפעולית: החלפת דיסקים פיזיים, ניטור מכסות אחסון, ואימות גיבויים ידני כאשר הסקריפטים נכשלים.
• תקציב סמוי: למרות שאחסון בענן זול, רוחב הפס להעלאת 500 גיגה-בייט ראשוניים עשוי להיות בלתי אפשרי בחיבורים איטיים (נפוץ באמריקה הלטינית). חלק מהעסקים הקטנים בוחרים לשלוח את הגיבוי הראשון בדיסק פיזי לספק כמו Backblaze (שירות Fireball).

ב-CyberShield ראינו ש-60% מהעסקים הקטנים שמיישמים אסטרטגיה זו נוטשים את האימות האוטומטי (אפס שגיאות) בחצי השנה הראשונה בגלל "חוסר זמן". זו טעות קריטית: גיבוי לא מאומת שקול לחוסר גיבוי בכלל.

אלטרנטיבות כאשר התקציב אפסי

עבור מיקרו-עסקים (1-5 עובדים) עם משאבים מוגבלים, אנו מציעים גרסה מינימליסטית:

1. שימוש ב-Borg עם שני דיסקים חיצוניים מוצפנים (אחד במשרד, השני בבית הבעלים).
2. הגדרת borg create --compression lz4 לחיסכון במקום.
3. אימות ידני של קובץ אקראי מדי חודש באמצעות borg extract --dry-run.
4. שמירת עותק של מפתח ההצפנה במעטפה פיזית בכספת.

גישה זו עומדת בכלל 3-2-1-0-0 (ללא אי-שינוייות או אימות אוטומטי), אך היא טובה לאין ערוך מאשר חוסר גיבוי בכלל. הסיכון מתוכנות כופר נשאר, אך לפחות היא מפחיתה תקלות חומרה או טעויות אנוש.

מסקנה: כלל 3-2-1-1-0 כרף מינימלי, לא כתקרה

העדכון של כלל 3-2-1 אינו גחמה תיאורטית: זוהי תגובה הכרחית לנוף איומים שבו התוקפים מכוונים באופן ספציפי לגיבויים. כלים כמו Restic ו-Borg הופכים את הגישה לאי-שינוייות ולאימות אוטומטי לנגישה, אך הם דורשים מחויבות טכנית שעסקים קטנים רבים ממעיטים בערכה. באמריקה הלטינית, שבה 43% מהחברות אינן מחזיקות בתוכנית גיבוי כלשהי (לפי נתוני ה-OEA, 2023), אפילו יישום חלקי של אסטרטגיה זו עושה את ההבדל בין המשך הפעילות לפשיטת רגל.

צוות CyberShield אימת שעסקים קטנים ובינוניים המאמצים מתודולוגיה זו מקצרים את זמן ההתאוששות (RTO) מימים לשעות, אפילו מול מתקפות תוכנות כופר מתוחכמות. המפתח הוא להתייחס לגיבויים לא כהוצאה, אלא כתהליך קריטי לעסק — ברצינות כמו הנהלת חשבונות או ניהול מלאי. כלל 3-2-1-1-0 אינו סוף הדרך, אלא הרף המינימלי שממנו ניתן לבנות חוסן אמיתי.

מקורות

1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
2. Veeam (2022). 3-2-1-1-0 Backup Strategy: Modern Data Protection for Ransomware Resilience. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
3. Restic Documentation (2023). Restic Backup Tool. URL: https://restic.net/
4. BorgBackup Documentation (2023). Deduplicating Archiver with Compression and Encryption. URL: https://borgbackup.org/
5. OEA-CICTE (2023). Informe de Ciberseguridad en América Latina y el Caribe. URL: https://www.oas.org/es/sms/cicte/docs/Informe-Ciberseguridad-2023.pdf
6. Backblaze (2023). Object Lock: Protecting Data from Ransomware. תיעוד טכני. URL: https://www.backblaze.com/blog/object-lock-protecting-data-from-ransomware/
7. מקרה ציבורי: Colonial Pipeline (2021). מתקפת תוכנת כופר שפגעה בגיבויים. מקור: Wall Street Journal, "How Colonial Pipeline’s Ransomware Attack Unfolded" (מאי 2021). URL: https://www.wsj.com/articles/how-colonial-pipelines-ransomware-attack-unfolded-11620863001