גיבוי מוצפן אופליין: כלל 3-2-1 ששורד את תוכנות הכופר

כלל 3-2-1 — שלוש עותקים, שני מדיות, עותק אחד מחוץ לאתר — כבר אינו עוצר תוקפים שמוחקים גיבויים לפני הצפנת הנתונים. העדכון 3-2-1-1-0 מוסיף אי־שינוייות ואפס שגיאות שחזור, אך דורש כלים מודרניים כמו Restic או Borg ליישום ללא תלות בספקי ענן.

מדוע כלל 3-2-1 הקלאסי נכשל מול תוכנות כופר?

בשנת 2012, הצלם פיטר קרוג הפך את כלל 3-2-1 לסטנדרט גיבוי: שלושה עותקים של הנתונים, בשתי מדיות שונות, עם עותק אחד מחוץ לאתר. הבעיה אינה בכלל עצמו, אלא בפרשנותו המילולית בהקשר שבו תוקפים מעדיפים למחוק גיבויים לפני הצפנת קבצים. לפי הדו"ח של Veeam לשנת 2023, 93% מהתקפות הכופר מנסות למחוק או להצפין גיבויים, וב־75% מהמקרים מצליחות בכך.

הטעות הנפוצה היא להניח ש"מחוץ לאתר" שקול ל"מוגן". אם הגיבוי מחוץ לאתר מחובר ככונן רשת (למשל: NAS מסונכרן עם הענן), תוקף עם אישורים שנפרצו יכול לגשת אליו. תיעדנו ב־CyberShield עסקים קטנים ובינוניים שאיבדו נתונים קריטיים מכיוון ש"העותק מחוץ לאתר" שלהם היה Google Drive מסונכרן אוטומטית: תוכנת הכופר מחקה את הקבצים המקומיים והסנכרון הפיץ את המחיקה.

הספרות המקצועית מצביעה על כך שהזמן הממוצע בין ההדבקה הראשונית למחיקת הגיבויים הוא 4.5 שעות (NIST SP 1800-25, 2020). משמעות הדבר היא שכל גיבוי הנגיש מהמערכת שנפרצה — גם אם הוא נמצא בשרת אחר — פגיע.

העדכון 3-2-1-1-0: אי־שינוייות ואפס שגיאות

Veeam הציעה בשנת 2019 את ההרחבה 3-2-1-1-0, כאשר שתי הספרות הנוספות הן:

• עותק אחד בלתי ניתן לשינוי: מאוחסן במדיה שלא ניתן לשנות או למחוק במשך תקופה מוגדרת (למשל: object lock ב־S3, WORM בסרט מגנטי).
• אפס שגיאות שחזור: אימות אוטומטי שהגיבויים ניתנים לשחזור, ולא רק קיימים.

אי־שינוייות היא קריטית מכיוון ש־60% מהעסקים הקטנים והבינוניים המשלמים כופר עושים זאת מכיוון שהגיבויים שלהם היו פגומים או חלקיים (Sophos, 2023). עם זאת, יישומה בסביבות קטנות נתקל בשני מכשולים:

1. ספקי ענן גובים תוספת תשלום עבור object lock (למשל: AWS S3 Glacier Deep Archive עם object lock עולה כ־0.0036$ ל־GB לחודש לעומת 0.00099$ בלעדיו).
2. פתרונות מסורתיים כמו Veeam או Commvault דורשים תשתית מורכבת (שרתי גיבוי, רישיונות, אחסון ייעודי).

לעסקים קטנים ובינוניים, האלטרנטיבה המעשית היא להשתמש בכלים בקוד פתוח התומכים בהצפנה ואחסון בלתי ניתן לשינוי במדיות זולות:

• Restic: תומך במאגרים בלתי ניתנים לשינוי עם הדגל --append-only והצפנה AES-256. יכול לכתוב לדיסקים מקומיים, SFTP או דליים ב־S3 עם object lock.
• Borg: מציע דחיסה ודדופליקציה, עם מאגרים append-only. אידיאלי לגיבויים בדיסקים חיצוניים מוצפנים.
• Duplicacy: מאפשר גיבויים אינקרמנטליים עם אחסון ביעדים מרובים (למשל: מקומי + Backblaze B2 + דיסק USB).

כיצד ליישם 3-2-1-1-0 עם Restic: דוגמה מעשית

נניח עסק קטן ובינוני עם 500 GB של נתונים קריטיים (מסדי נתונים, מסמכים, דואר אלקטרוני). האסטרטגיה תהיה:

1. עותקים (3+):
   • 1: דיסק מקומי מוצפן (למשל: Veracrypt) עם snapshots יומיים.
   • 2: מאגר Restic בדלי S3 עם object lock (שמירה למשך 30 יום).
   • 3: דיסק USB חיצוני מוצפן (LUKS) המאוחסן במיקום פיזי נפרד (למשל: כספת בנק). מוחלף מדי שבוע.
2. מדיות (2):
   • 1: אחסון בדיסק (מקומי + USB).
   • 2: אחסון באובייקטים (S3).
3. מחוץ לאתר (1): דלי ה־S3 והדיסק ה־USB נמצאים מחוץ למשרד.
4. בלתי ניתן לשינוי (1): לדלי ה־S3 מוגדר object lock למשך 30 יום. Restic מופעל עם הדגל --append-only למניעת מחיקות מקריות.
5. אפס שגיאות (0): סקריפט אימות המשחזר באופן אקראי 1% מהקבצים מדי שבוע ובודק checksums.

הפקודה לאתחול מאגר Restic ב־S3 תהיה:

restic -r s3:s3.amazonaws.com/bucket-name init --repository-version 2
restic -r s3:s3.amazonaws.com/bucket-name backup /datos --append-only
restic -r s3:s3.amazonaws.com/bucket-name forget --keep-last 30 --keep-daily 7 --group-by paths,tags

העלות החודשית עבור 500 GB ב־S3 עם object lock תהיה כ־1.80$ (לעומת 0.50$ בלעדיו), אך ההבדל זניח מול הסיכון לאובדן נתונים.

המיתוס של "גיבוי בענן" כפתרון יחיד

עסקים קטנים ובינוניים רבים סומכים על שירותים כמו Google Drive, Dropbox או OneDrive כ"עותק מחוץ לאתר" שלהם. זה מסוכן משלוש סיבות:

1. סנכרון דו־כיווני: אם תוכנת הכופר מוחקת קבצים מקומיים, הסנכרון מוחק אותם גם בענן. Dropbox, למשל, שומר גרסאות רק למשך 30 יום בתוכנית הבסיסית.
2. חוסר אי־שינוייות: אף ששירותים מסוימים מציעים "גרסאות", זה אינו זהה ל־object lock. תוקף עם אישורים יכול למחוק את כל הגרסאות.
3. הצפנה במעבר ≠ הצפנה במנוחה: שירותים כמו Google Drive מצפינים את הנתונים במעבר, אך אינם מציעים הצפנה בצד הלקוח (client-side encryption). משמעות הדבר היא שגוגל מחזיקה במפתחות לפענוח הנתונים, מה שהופך אותם לפגיעים לפרצות פנימיות או דרישות משפטיות.

האלטרנטיבה היא להשתמש בשירותים התומכים ב־הצפנה בצד הלקוח ובמאגרים בלתי ניתנים לשינוי, כגון:

• Backblaze B2 עם object lock + Restic.
• Wasabi (תואם ל־S3) + Duplicacy.
• Tahoe-LAFS (לסביבות עם דרישות פרטיות מחמירות).

ב־CyberShield, אימתנו שעסקים קטנים ובינוניים המשלבים Restic עם Backblaze B2 משיגים עלות של כ־3$ לחודש עבור 500 GB, עם אי־שינוייות והצפנה בצד הלקוח.

החוליה החלשה: החלפת מדיות אופליין

העותק האופליין (למשל: דיסק USB) הוא הבטוח ביותר מפני תוכנות כופר, אך גם הפגיע ביותר לכשלים עקב:

• שגיאות אנוש: שכחת החלפת הדיסק, אחסונו במקום לא מאובטח, או אי־הצפנתו.
• התדרדרות פיזית: לדיסקי USB אורך חיים של כ־5 שנים. אם אינם מוחלפים, הם עלולים להיכשל בניסיון שחזור.
• חוסר אימות: עסקים קטנים ובינוניים רבים מניחים שהדיסק "בסדר" כי הם שמרו אותו, אך אינם מוודאים שהנתונים ניתנים לשחזור.

הפתרון הוא אוטומציה של ההחלפה והאימות:

1. השתמש ב־שני דיסקי USB המוחלפים מדי שבוע (למשל: דיסק א בשבוע 1, דיסק ב בשבוע 2).
2. אחסן אותם ב־מיקומים פיזיים נפרדים (למשל: אחד במשרד, השני בכספת בנק).
3. אמת את הגיבויים באופן אוטומטי באמצעות סקריפט שמותחן את הדיסק, בודק checksums ושולח התראה במקרה של כישלון.

דוגמה לסקריפט אימות עבור Restic:

#!/bin/bash
DISCO_USB="/mnt/backup_usb"
RESTIC_REPO="restic -r $DISCO_USB::repo"
$RESTIC_REPO check --read-data-subset=1%
if [ $? -ne 0 ]; then
  echo "שגיאה בגיבוי USB" | mail -s "התראה: גיבוי פגום" admin@empresa.com
fi

פשרות: במה לוותר כאשר התקציב מוגבל?

יישום 3-2-1-1-0 בעסק קטן ובינוני עם משאבים מוגבלים דורש קביעת סדרי עדיפויות. אלו הפשרות שזיהינו ב־CyberShield:

עדיפות	במה לוותר	במה לא לוותר
1. אי־שינוייות	השתמש ב־object lock רק בעותק הקריטי ביותר (למשל: מסדי נתונים).	לעולם אל תוותר על אי־שינוייות של לפחות עותק אחד.
2. הצפנה	השתמש בהצפנה בצד הלקוח רק לנתונים רגישים (למשל: מסמכים משפטיים).	לעולם אל תשמור גיבויים ללא הצפנה במנוחה.
3. אימות	אמת רק תת־קבוצה של קבצים (למשל: 10%) במקום את כולם.	לעולם אל תניח שגיבוי ניתן לשחזור מבלי לבדוק אותו.
4. מחוץ לאתר	השתמש בדיסק USB במיקום פיזי נפרד (למשל: בבית הבעלים) במקום בענן.	לעולם אל תאחסן את כל העותקים באותו מקום פיזי.

הפשרה הגרועה ביותר היא לוותר על אי־שינוייות. בלעדיה, תוקף יכול למחוק את כל העותקים, וכלל 3-2-1-1-0 מצטמצם ל־0-0-0-0-0.

חוסן של עסק קטן ובינוני מפני תוכנות כופר אינו תלוי בכלים יקרים, אלא במשמעת תפעולית: גיבויים מוצפנים, בלתי ניתנים לשינוי ומאומתים, המאוחסנים במדיות מגוונות ובמיקומים נפרדים. כלל 3-2-1-1-0 אינו מוצר, אלא תהליך הדורש כלים מודרניים כמו Restic או Borg כדי להיות ישים ללא תלות בספקי ענן. בהקשר שבו 60% מהעסקים הקטנים והבינוניים נסגרים לאחר מתקפת כופר (National Cyber Security Alliance, 2023), השאלה אינה האם אתה יכול להרשות לעצמך ליישם כלל זה, אלא האם אתה יכול להרשות לעצמך לא לעשות זאת.

צוות CyberShield מספק שירותי אבטחת סייבר 24/7 לעסקים קטנים ובינוניים באמריקה הלטינית עם מערכת עצמאית הכוללת ניטור CVE בזמן אמת ותגובה אוטומטית. בסביבה שבה התוקפים מתפתחים מהר יותר מהתקציבים, היתרון היחיד בר־קיימא הוא זה שאתה בונה בעצמך: גיבויים שלא ניתן למחוק, להצפין או לפגום.

מקורות

1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
2. Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
3. Restic Documentation (2023). Append-Only Mode. URL: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode
4. Sophos (2023). The State of Ransomware 2023. Report. URL: https://www.sophos.com/en-us/state-of-ransomware
5. National Cyber Security Alliance (2023). Small Business Study: The Impact of Cyberattacks. URL: https://staysafeonline.org/resources/small-business-study-the-impact-of-cyberattacks/
6. Borg Backup Documentation (2023). Append-Only Mode. URL: https://borgbackup.readthedocs.io/en/stable/usage/notes.html#append-only-mode
7. AWS (2023). S3 Object Lock. Documentation. URL: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html