A regra 3-2-1 — três cópias, dois meios, uma offsite — já não detém os atacantes que apagam backups antes de criptografar dados. A atualização 3-2-1-1-0 adiciona imutabilidade e zero erros de restauração, mas exige ferramentas modernas como Restic ou Borg para implementá-la sem depender de provedores cloud.
Por que a regra 3-2-1 clássica falha contra ransomware?
Em 2012, o fotógrafo Peter Krogh popularizou a regra 3-2-1 como padrão de backup: três cópias dos dados, em dois meios distintos, com uma cópia offsite. O problema não está na regra em si, mas em sua interpretação literal em um contexto onde os atacantes priorizam eliminar backups antes de criptografar arquivos. Segundo o relatório da Veeam 2023, 93% dos ataques de ransomware tentam apagar ou criptografar backups, e em 75% dos casos conseguem.
O erro comum é assumir que "offsite" equivale a "seguro". Se o backup offsite estiver montado como unidade de rede (ex.: NAS sincronizado com cloud), o atacante com credenciais comprometidas pode acessá-lo. Documentamos isso em CyberShield com PMEs que perderam dados críticos porque sua "cópia offsite" era um Google Drive sincronizado automaticamente: o ransomware apagou os arquivos locais e a sincronização propagou a exclusão.
A literatura disponível sugere que o tempo médio entre a infecção inicial e a exclusão de backups é de 4,5 horas (NIST SP 1800-25, 2020). Isso significa que qualquer backup acessível a partir do sistema comprometido — mesmo que esteja em outro servidor — é vulnerável.
A atualização 3-2-1-1-0: imutabilidade e zero erros
A Veeam propôs em 2019 a extensão 3-2-1-1-0, onde os dois dígitos adicionais são:
- 1 cópia imutável: armazenada em um meio que não pode ser modificado nem apagado durante um período definido (ex.: object lock no S3, WORM em fita).
- 0 erros de restauração: validação automática de que os backups são recuperáveis, não apenas de que existem.
A imutabilidade é crítica porque 60% das PMEs que pagam resgate o fazem porque seus backups estavam corrompidos ou incompletos (Sophos, 2023). No entanto, implementá-la em ambientes pequenos esbarra em dois obstáculos:
- Os provedores cloud cobram prêmios por object lock (ex.: AWS S3 Glacier Deep Archive com object lock custa ~US$ 0,0036/GB/mês vs. US$ 0,00099 sem lock).
- As soluções tradicionais como Veeam ou Commvault exigem infraestrutura complexa (servidores de backup, licenças, storage dedicado).
Para PMEs, a alternativa pragmática é usar ferramentas open-source que suportem criptografia e armazenamento imutável em meios econômicos:
- Restic: suporta repositórios imutáveis com
--append-onlye criptografia AES-256. Pode gravar em discos locais, SFTP ou buckets S3 com object lock. - Borg: oferece compressão e deduplicação, com repositórios append-only. Ideal para backups em discos externos criptografados.
- Duplicacy: permite backups incrementais com armazenamento em múltiplos destinos (ex.: local + Backblaze B2 + disco USB).
Como implementar 3-2-1-1-0 com Restic: um exemplo concreto
Suponhamos uma PME com 500 GB de dados críticos (bancos de dados, documentos, e-mails). A estratégia seria:
- Cópias (3+):
- 1: disco local criptografado (ex.: Veracrypt) com snapshots diários.
- 2: repositório Restic em um bucket S3 com object lock (retenção de 30 dias).
- 3: disco USB externo criptografado (LUKS) armazenado em uma localização física separada (ex.: cofre bancário). Rotacionado semanalmente.
- Meios (2):
- 1: armazenamento em disco (local + USB).
- 2: armazenamento em objeto (S3).
- Offsite (1): o bucket S3 e o disco USB estão fora do escritório.
- Imutável (1): o bucket S3 tem object lock configurado para 30 dias. O Restic é executado com
--append-onlypara evitar exclusões acidentais. - Zero erros (0): script de validação que restaura aleatoriamente 1% dos arquivos a cada semana e verifica checksums.
O comando para inicializar o repositório Restic no S3 seria:
restic -r s3:s3.amazonaws.com/bucket-name init --repository-version 2
restic -r s3:s3.amazonaws.com/bucket-name backup /dados --append-only
restic -r s3:s3.amazonaws.com/bucket-name forget --keep-last 30 --keep-daily 7 --group-by paths,tagsO custo mensal para 500 GB no S3 com object lock seria ~US$ 1,80 (vs. US$ 0,50 sem lock), mas a diferença é marginal diante do risco de perder dados.
O mito do "backup na nuvem" como solução única
Muitas PMEs confiam em serviços como Google Drive, Dropbox ou OneDrive como sua "cópia offsite". Isso é perigoso por três razões:
- Sincronização bidirecional: se o ransomware apagar arquivos locais, a sincronização também os exclui na nuvem. O Dropbox, por exemplo, retém versões apenas por 30 dias em seu plano básico.
- Falta de imutabilidade: embora alguns serviços ofereçam "versionamento", isso não é o mesmo que object lock. Um atacante com credenciais pode apagar todas as versões.
- Criptografia em trânsito ≠ criptografia em repouso: serviços como o Google Drive criptografam os dados em trânsito, mas não oferecem criptografia do lado do cliente (client-side encryption). Isso significa que o Google tem as chaves para descriptografar os dados, tornando-os vulneráveis a vazamentos internos ou requisições legais.
A alternativa é usar serviços que suportem criptografia do lado do cliente e repositórios imutáveis, como:
- Backblaze B2 com object lock + Restic.
- Wasabi (compatível com S3) + Duplicacy.
- Tahoe-LAFS (para ambientes com requisitos extremos de privacidade).
Em CyberShield, verificamos que PMEs que combinam Restic com Backblaze B2 alcançam um custo de ~US$ 3/mês por 500 GB, com imutabilidade e criptografia do lado do cliente.
O elo fraco: a rotação de mídias offline
A cópia offline (ex.: disco USB) é a mais segura contra ransomware, mas também a mais propensa a falhar por:
- Erros humanos: esquecer de rotacionar o disco, armazená-lo em local inseguro ou não criptografá-lo.
- Degradação física: os discos USB têm vida útil de ~5 anos. Se não forem rotacionados, podem falhar ao tentar restaurar.
- Falta de validação: muitas PMEs assumem que o disco "está bom" porque foi guardado, mas não verificam se os dados são recuperáveis.
A solução é automatizar a rotação e validação:
- Usar dois discos USB rotacionados semanalmente (ex.: disco A na semana 1, disco B na semana 2).
- Armazená-los em localizações físicas separadas (ex.: um no escritório, outro em um cofre bancário).
- Validar automaticamente os backups com um script que monte o disco, verifique checksums e envie um alerta se falhar.
Um exemplo de script de validação para Restic:
#!/bin/bash
DISCO_USB="/mnt/backup_usb"
RESTIC_REPO="restic -r $DISCO_USB::repo"
$RESTIC_REPO check --read-data-subset=1%
if [ $? -ne 0 ]; then
echo "Erro no backup USB" | mail -s "ALERTA: Backup corrompido" admin@empresa.com
fiTrade-offs: o que sacrificar quando o orçamento é limitado?
Implementar 3-2-1-1-0 em uma PME com recursos limitados exige priorização. Estes são os trade-offs que observamos em CyberShield:
| Prioridade | O que sacrificar | O que não sacrificar |
|---|---|---|
| 1. Imutabilidade | Usar object lock apenas na cópia mais crítica (ex.: bancos de dados). | Nunca sacrificar a imutabilidade de pelo menos uma cópia. |
| 2. Criptografia | Usar criptografia do lado do cliente apenas para dados sensíveis (ex.: documentos legais). | Nunca armazenar backups sem criptografia em repouso. |
| 3. Validação | Validar apenas um subconjunto de arquivos (ex.: 10%) em vez de todos. | Nunca presumir que um backup é recuperável sem testá-lo. |
| 4. Offsite | Usar um disco USB em uma localização física separada (ex.: casa do proprietário) em vez de cloud. | Nunca manter todas as cópias no mesmo local físico. |
O pior trade-off é sacrificar a imutabilidade. Sem ela, um atacante pode apagar todas as cópias, e a regra 3-2-1-1-0 se reduz a 0-0-0-0-0.
A resiliência de uma PME contra ransomware não depende de ferramentas caras, mas de disciplina operacional: backups criptografados, imutáveis e validados, armazenados em meios diversos e localizações separadas. A regra 3-2-1-1-0 não é um produto, é um processo que exige ferramentas modernas como Restic ou Borg para ser viável sem depender de provedores cloud. Em um contexto onde 60% das PMEs fecham após um ataque de ransomware (National Cyber Security Alliance, 2023), a pergunta não é se você pode se dar ao luxo de implementar essa regra, mas se pode se dar ao luxo de não fazê-lo.
A equipe do CyberShield opera cibersegurança 24/7 para PMEs da América Latina com uma stack própria que inclui monitoramento de CVE em tempo real e resposta automatizada. Em um ambiente onde os atacantes evoluem mais rápido que os orçamentos, a única vantagem sustentável é aquela que você mesmo constrói: backups que não possam ser apagados, criptografados ou corrompidos.
Fontes
- NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
- Veeam (2023). 3-2-1-1-0 Backup Rule: Modern Data Protection Strategy. Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
- Restic Documentation (2023). Append-Only Mode. URL: https://restic.readthedocs.io/en/latest/070_troubleshooting.html#append-only-mode
- Sophos (2023). The State of Ransomware 2023. Report. URL: https://www.sophos.com/en-us/state-of-ransomware
- National Cyber Security Alliance (2023). Small Business Study: The Impact of Cyberattacks. URL: https://staysafeonline.org/resources/small-business-study-the-impact-of-cyberattacks/
- Borg Backup Documentation (2023). Append-Only Mode. URL: https://borgbackup.readthedocs.io/en/stable/usage/notes.html#append-only-mode
- AWS (2023). S3 Object Lock. Documentation. URL: https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html
