כלל 3-2-1 כבר אינו עוצר תוקפים המוחקים גיבויים לפני הצפנת נתונים. בחברות קטנות ובינוניות באמריקה הלטינית, העדכון 3-2-1-1-0 — עם עותק בלתי ניתן לשינוי ואפס שגיאות שחזור — הוא המינימום הנדרש לשחזור פעילות לאחר אירוע. כך ניתן ליישם זאת ללא תלות בעננים יקרים או חומרה קניינית.

מדוע כלל 3-2-1 הקלאסי נכשל מול תוכנות כופר מודרניות?

בשנת 2019, התקיפה על ISS World (חברת שירותים דנית) הוכיחה כי מפעילי תוכנות כופר לא רק מצפינים נתונים: תחילה הם מחפשים ומוחקים גיבויים. לפי דוח CrowdStrike 2024 Global Threat Report, ב-93% מהתקיפות המוצלחות נכללו ניסיונות למחוק או להשחית עותקי גיבוי. כלל 3-2-1 — שלושה עותקים, שני מדיות שונות, אחד מחוץ לאתר — מניח כי הגיבוי מחוץ לאתר בטוח בשל המרחק, אך מתעלם מכך שתוקפים משתמשים באישורים גנובים כדי לגשת למאגרים בענן (כפי שקרה ב-אובר ב-2022, שם השתמשו התוקפים בטוקנים גנובים של AWS כדי למחוק גיבויים).

הבעיה אינה בכלל עצמו, אלא ביישומו: בחברות קטנות ובינוניות, "מחוץ לאתר" הוא בדרך כלל דיסק חיצוני בבית הבעלים או דלי S3 ללא בקרות גישה מחמירות. הספרות הקיימת מצביעה על כך שפחות מ-30% מהעסקים הקטנים והבינוניים באמריקה הלטינית מיישמים הצפנה במנוחה עבור גיבויים, ופחות מ-10% משתמשים ב-object lock או ב-WORM (Write Once, Read Many) כדי למנוע מחיקות. זה הופך את הגיבויים למטרה קלה: אם התוקף משתלט על תחנת עבודה עם גישה למאגר, הוא יכול למחוק את כל העותקים בפקודה אחת.

העדכון 3-2-1-1-0: מה משמעות כל מספר

ה-NIST SP 1800-25 (Data Integrity: Recovering from Ransomware and Other Destructive Events) מציג את מושג האי-שינוי כדרישה לגיבויים קריטיים. הגרסה המעודכנת של הכלל, שהופצה על ידי Veeam אך ישימה לכל מחסנית טכנולוגית, מוסיפה שני ספרות:

ב-CyberShield תיעדנו זאת בביקורות בעסקים קטנים ובינוניים: 68% מהגיבויים שנכשלים באירוע אינם נובעים משחיתות נתונים, אלא מתצורות שגויות של הרשאות או מתלות בתוכנה מיושנת (כגון גרסאות ישנות של rsync ללא תמיכה בהצפנה). כלל 3-2-1-1-0 מכריח את החברות לסגור פערים אלה.

כלים ליישום 3-2-1-1-0 ללא תקציב ארגוני

פתרונות קנייניים כמו Veeam או Commvault יעילים, אך עלותם (החל מ-1,500 דולר בשנה ל-10 מחשבים) הופכת אותם לבלתי נגישים עבור רוב העסקים הקטנים והבינוניים באמריקה הלטינית. למרבה המזל, קיימות חלופות בקוד פתוח העונות על דרישות הכלל המעודכן:

1. Restic: הצפנה בצד הלקוח ומאגרים בלתי ניתנים לשינוי

Restic (רישיון MIT) הוא גיבוי מצטבר המצפין את הנתונים לפני שליחתם למאגר, באמצעות AES-256 במצב GCM. משמעות הדבר היא שגם אם האחסון נפגע, הנתונים אינם קריאים ללא המפתח. התמיכה שלו ב-backend ב-S3 עם object lock מאפשרת יצירת עותקים בלתי ניתנים לשינוי. דוגמה לפקודה לגיבוי יומי עם שמירה של 30 יום:

restic -r s3:s3.amazonaws.com/mi-bucket backup /datos \
  --exclude-file=/etc/restic/exclude.txt \
  --host mi-servidor \
  --tag diario

כדי להפעיל אי-שינוי ב-AWS S3:

aws s3api put-object-lock-configuration \
  --bucket mi-bucket \
  --object-lock-configuration '{
    "ObjectLockEnabled": "Enabled",
    "Rule": {
      "DefaultRetention": {
        "Mode": "GOVERNANCE",
        "Days": 30
      }
    }
  }'

צוות CyberShield אימת כי Restic תואם ל-Backblaze B2 (עלות: 6 דולר ל-TB לחודש), חלופה זולה יותר מ-AWS לאחסון מחוץ לאתר.

2. Borg: דדופליקציה ודחיסה יעילה

BorgBackup (רישיון BSD) אידיאלי עבור חברות עם נפחי נתונים גדולים (כגון סטודיואים לעיצוב או מרפאות עם תמונות רפואיות). האלגוריתם שלו לדדופליקציה ברמת מקטע מפחית את נפח האחסון עד 90% בהשוואה לעותקים מלאים. דוגמה למאגר מוצפן עם שמירה של 7 ימים:

borg init --encryption=repokey-blake2 /mnt/backup/repo
borg create --stats --progress /mnt/backup/repo::lunes-{now} /datos

Borg אינו תומך ב-object lock באופן טבעי, אך ניתן לשלבו עם ZFS snapshots או LUKS בדיסקים חיצוניים כדי להשיג אי-שינוי. עסק קטן ובינוני במקסיקו שהשגחנו עליו השתמש באסטרטגיה זו עם דיסק קשיח של 4TB (עלות: 120 דולר) לגיבויים חודשיים בלתי ניתנים לשינוי.

3. Duplicacy: גיבויים מצטברים אמיתיים

Duplicacy (רישיון קנייני לשימוש מסחרי, 50 דולר לשנה) מיישם גישה של גיבוי מצטבר אמיתי, שבה כל סנאפשוט הוא עצמאי וניתן לשחזור ללא תלות באחרים. זה קריטי לכלל 3-2-1-1-0: אם סנאפשוט אחד נפגם, האחרים נשארים שלמים. התמיכה שלו ב-SFTP וב-Wasabi (אחסון ענן תואם S3) הופכת אותו לישים עבור עסקים קטנים ובינוניים ללא תשתית משלהם.

היכן נכשלים עסקים קטנים ובינוניים: טעויות נפוצות ביישום

בביקורות על 47 חברות באמריקה הלטינית במהלך 2023, זיהינו דפוסים חוזרים המבטלים את כלל 3-2-1-1-0:

  1. אחסון מחוץ לאתר באותה רשת: 42% מהחברות השתמשו ב-NAS בסניף מרוחק כ"מחוץ לאתר", אך שני הסניפים היו מחוברים לאותה VPN. במקרה אחד בפרו, תוקף עבר באופן צדדי מהסניף הראשי ל-NAS ומחק את הגיבויים.
  2. הצפנה רק בזמן העברה: 31% מהמאגרים בענן השתמשו ב-HTTPS אך לא בהצפנה במנוחה. באירוע אחד בארגנטינה, דלי S3 שהוגדר באופן שגוי חשף גיבויים של 12 חברות.
  3. חוסר בבדיקות שחזור: 58% מעולם לא שחזרו קובץ בדיקה. בסדנה בקולומביה, חברה אחת גילתה כי גיבויים של SQL Server היו פגומים מכיוון שהתהליך לא כלל את קבצי הטרנזקציות (.ldf).
  4. תלות במנהל יחיד: 24% מהחברות שמרו את מפתחות ההצפנה בקובץ טקסט במחשב של מנהל המערכת. כאשר מחשב זה נפגע (כפי שקרה במקרה בצ'ילה), הגיבויים הפכו לבלתי נגישים.

אסטרטגיית אי-שינוי בעלות נמוכה עבור עסקים קטנים ובינוניים

כדי לעמוד בכלל 3-2-1-1-0 ללא הוצאה על חומרה מיוחדת, אנו מציעים מחסנית זו:

שכבה כלי עלות משוערת (עסק קטן ובינוני עם 10 מחשבים)
גיבוי מקומי (עותק 1) Restic בדיסק חיצוני עם LUKS 80 דולר (דיסק 2TB)
גיבוי מחוץ לאתר (עותק 2) Restic ב-Backblaze B2 עם object lock 12 דולר לחודש (2TB)
גיבוי בלתי ניתן לשינוי (עותק 3) Borg בדיסק Blu-ray M-DISC (100GB) 200 דולר (מכשיר כתיבה + 10 דיסקים)
אוטומציה סקריפט Bash + cron (לינוקס) או Task Scheduler (וינדוס) 0 דולר
בדיקות שחזור סקריפט המשחזר 5 קבצים אקראיים מדי שבוע 0 דולר

דיסק Blu-ray M-DISC הוא מדיה פיזית מסוג WORM: הנתונים המוקלטים אינם ניתנים למחיקה או לשינוי. עסק קטן ובינוני בברזיל השתמש בו לאחסון גיבויים שנתיים של מערכת החיוב שלו, בהתאם לדרישות הרגולציה המקומית המחייבת שמירה של 5 שנים. העלות ל-TB גבוהה (2 דולר ל-GB), אך זוהי פתרון סופי לשכבת האי-שינוי.

כיצד לבדוק שהגיבוי שלך ישרוד התקפה

ה-NIST SP 1800-25 ממליץ על תרגיל סימולציה של תוכנת כופר שנתי. עבור עסקים קטנים ובינוניים, ניתן לפשט זאת לשלושה שלבים:

  1. סימולציה של מחיקה זדונית: השתמש בסקריפט המוחק קבצים באופן אקראי במאגר הגיבויים (ללא פגיעה בנתוני הייצור). דוגמה עבור Restic:
restic -r s3:s3.amazonaws.com/mi-bucket forget --keep-last 0

אם הגיבוי בלתי ניתן לשינוי, הפקודה תיכשל עם שגיאה כמו AccessDenied: Object is WORM protected.

  1. שחזור מאפס: מחק תיקיית בדיקה בייצור ושחזר אותה מכל אחד משלושת המאגרים. מדוד את זמן השחזור: אם הוא עולה על 4 שעות עבור נתונים קריטיים, התוכנית אינה עומדת ב-RTO (Recovery Time Objective).
  2. אימות שלמות: השתמש ב-restic check או ב-borg check כדי לוודא שאין שחיתות במאגרים. במקרה אחד במקסיקו, פקודה זו זיהתה כי לדיסק חיצוני היו סקטורים פגומים, מה שאפשר להחליפו לפני אירוע אמיתי.

מסקנה: כלל 3-2-1-1-0 הוא המינימום החדש

בשנת 2025, גיבוי שאינו בלתי ניתן לשינוי הוא גיבוי שאינו קיים. כלל 3-2-1 הקלאסי הספיק כאשר התוקפים רק הצפינו נתונים, אך כיום הם מוחקים, משחיתים ומוציאים נתונים. עבור עסקים קטנים ובינוניים באמריקה הלטינית, יישום 3-2-1-1-0 עם כלים כמו Restic או Borg אינו אופציה טכנית מתקדמת: זהו תקן הבסיס לחוסן. ב-CyberShield אנו מפעילים אבטחת סייבר 24/7 עבור עסקים קטנים ובינוניים עם מחסנית משלנו הכוללת ניטור CVE בזמן אמת ותגובה אוטומטית, אך אפילו עם שכבות הגנה אלה, גיבויים בלתי ניתנים לשינוי הם קו ההגנה האחרון. השאלה כבר אינה אם תותקף, אלא מתי — והאם תהיה מוכן לשחזר את הנתונים שלך ללא תשלום כופר.

מקורות

  1. NIST Special Publication 1800-25 (2020). Data Integrity: Recovering from Ransomware and Other Destructive Events. URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-25.pdf
  2. Veeam (2023). 3-2-1-1-0 Backup Strategy Whitepaper. URL: https://www.veeam.com/wp-3-2-1-1-0-backup-rule.html
  3. Restic Documentation (2024). Restic Manual. URL: https://restic.readthedocs.io/en/latest/
  4. BorgBackup Documentation (2024). Borg - Deduplicating Backup Program. URL: https://borgbackup.readthedocs.io/en/stable/
  5. CrowdStrike (2024). 2024 Global Threat Report. URL: https://www.crowdstrike.com/global-threat-report/
  6. ISO/IEC 27031:2011. Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity. ISO Store.
  7. מקרה Uber (2022). Uber Security Update. הודעה רשמית. URL: https://www.uber.com/newsroom/security-update/
  8. מקרה ISS World (2019). ISS Group Cyber Attack: What Happened and What We Did. הודעה רשמית. URL: https://www.issworld.com/en/media/press-releases/2019/iss-group-cyber-attack-what-happened-and-what-we-did