Зашифрованный бэкап - это не бэкап: что изменил ransomware

Ещё несколько лет назад разговор о резервном копировании был скучным, но понятным: делай бэкап раз в день, храни копии в двух местах, проверяй восстановление раз в квартал. Этого было достаточно для большинства угроз - случайного удаления, аппаратного сбоя, ошибки пользователя.

В 2016 году этого недостаточно. Программы-вымогатели (ransomware) изменили модель угроз так, что многие компании обнаруживают свои "резервные копии" зашифрованными вместе с основными данными.

Как работает проблема

Классическая схема резервного копирования подразумевает, что бэкап подключён к инфраструктуре: либо как сетевой диск, либо через агент на сервере, либо через синхронизацию. Это удобно для автоматизации.

Ransomware использует ровно это. Когда вредоносная программа получает доступ к системе, она обходит всё, до чего может дотянуться по сети и через смонтированные диски. Если бэкап примонтирован как диск или доступен через ту же учётную запись - он будет зашифрован вместе с основными данными.

Компания платит выкуп или теряет данные не потому, что у неё не было бэкапа. А потому, что бэкап был частью той же атакуемой поверхности.

Что означает понятие "изолированная копия"

Настоящая защита от ransomware требует копий, которые не могут быть изменены или уничтожены той же атакой, которая поразила основную систему. В профессиональной среде это называют air-gapped backup или immutable backup.

Несколько конкретных свойств:

• Резервная копия не доступна из основной сети в момент записи и после неё.
• Нет учётной записи, которая одновременно имеет права на основные данные и права на изменение резервных копий.
• Часть копий хранится offline - на отключённых носителях или в изолированных облачных хранилищах с защитой от удаления.
• Версионирование: хранится не одна копия, а история за несколько точек во времени - ransomware может тихо шифровать данные несколько дней до обнаружения.

Почему тест восстановления важнее самого бэкапа

Бэкап, который никогда не тестировался на восстановление, не является бэкапом - это гипотеза о том, что он работает.

После атаки ransomware у компании обычно нет времени на диагностику. Нужно восстановить системы быстро, пока бизнес стоит. Именно в этот момент выясняется, что последний рабочий тест восстановления был год назад, схема изменилась, и то, что считалось бэкапом, не монтируется на новое железо.

Регулярный тест восстановления - не административная формальность. Это единственный способ знать, что бэкап работает.

Три вопроса для проверки готовности

Если вы хотите быстро оценить, насколько текущая схема резервного копирования защищает от ransomware, задайте три вопроса своей IT-команде:

1. Есть ли у нас резервные копии, которые физически или логически недоступны из основной сети?
2. Когда последний раз мы восстанавливали из бэкапа в условиях, приближённых к реальной аварии - не отдельный файл, а полную систему?
3. Если сегодня всё зашифровано - сколько данных мы потеряем и сколько времени займёт восстановление?

Если на эти вопросы нет чётких ответов - это уже информация. Стратегия резервного копирования требует пересмотра с учётом новой модели угроз.