Ранее мы упоминали масштабную кибератаку, которая привела к отмене десятков рейсов и потенциальным убыткам до $50 млн. По оценкам экспертов, восстановление инфраструктуры займет от нескольких недель до полугода.
Вопрос в том: почему даже у крупных компаний с резервными копиями случаются катастрофы?
Ответ прост: бэкапы были либо скомпрометированы, либо не соответствовали современным требованиям защиты от ransomware.
В этой статье разберем:
- Почему стандартных резервных копий недостаточно?
- Как организовать отказоустойчивую стратегию бэкапов, включая изолированные хранилища и air-gapped копии.
- Примеры успешного восстановления после атак.
Почему не сработали бэкапы?
Атаки ransomware стали целевыми: злоумышленники заранее изучают инфраструктуру, ищут уязвимости и уничтожают резервные копии перед шифрованием данных.
Основные причины компрометации бэкапов:
Хранилища подключены к сети
- Если резервные копии доступны из основной инфраструктуры, злоумышленники могут их удалить или зашифровать.
- Пример: в 2021 году атака на Kaseya затронула 1500 организаций, потому что бэкапы хранились на общих серверах.
Отсутствие неизменяемых (immutable) копий
- Если резервные копии можно перезаписать, ransomware их уничтожит.
- Решение: WORM-хранилища (Write Once, Read Many) или аппаратные диоды данных (например, АПК InfoDiode), которые физически блокируют изменение данных.
Нет проверки целостности
- Бэкапы могут быть повреждены, но компания об этом не узнает, пока не попытается восстановиться.
- Решение: регулярное тестирование восстановления + контрольные суммы данных.
Слабая сегментация сети
- Если сеть резервного копирования не изолирована, атакующие легко проникают в хранилища.
- Рекомендация: отдельный VLAN для бэкапов + строгий контроль доступа.
Как организовать отказоустойчивую стратегию бэкапов?
1. Правило 3-2-1-1
Минимальный стандарт защиты:
- 3 копии данных (оригинал + 2 резервные).
- 2 разных типа носителей (например, диск + облако).
- 1 копия вне офиса (географически удаленная).
- 1 неизменяемая (immutable) копия (например, лента или WORM-хранилище) 68.
2. Air-Gapped копии – последний рубеж защиты
- Что это? Резервные копии, физически отключенные от сети (ленты, внешние HDD, автономные серверы).
- Плюсы: невозможно удалить удаленно.
- Минусы: восстановление занимает больше времени.
Пример: одна компания после атаки восстановила данные за 2 дня, потому что имела ленточные копии в сейфе.
3. Изолированные хранилища с однонаправленной передачей
- Аппаратные диоды данных (например, InfoDiode) позволяют только записывать данные в хранилище, но не изменять или удалять их.
- Облачные immutable-хранилища (AWS S3 Object Lock, Azure Blob Storage) блокируют изменения на заданный срок.
4. Активная защита резервных копий
- Модули ИИ (как в Кибер Бэкап) анализируют аномальную активность (массовое удаление файлов, шифрование) и блокируют угрозы.
- RBAC + MFA – строгий контроль доступа к системам бэкапирования.
Примеры успешного восстановления после ransomware
Случай 1: атака на логистическую компанию
Проблема: шифровальщик заразил 90% серверов, включая хранилище бэкапов.
Решение:
- Восстановление из air-gapped лент, хранившихся в другом городе.
- Полное возвращение к работе за 72 часа.
Случай 2: финансовый сектор
Проблема: атакующие удалили все облачные бэкапы.
Решение:
- Использование immutable S3-хранилища с 30-дневной блокировкой изменений.
- Восстановление критических систем за 24 часа.
Как Sympace помогает бизнесу избежать катастроф?
В Sympace мы понимаем, что резервное копирование – не просто "галочка" в чек-листе ИБ, а стратегическая защита бизнеса.
Наша команда помогает:
✅ Подобрать отказоустойчивые решения (Veeam, Кибер Бэкап, Commvault).
✅ Настроить immutable-хранилища и air-gapped копии.
✅ Оптимизировать TCO (не только стоимость оборудования, но и минимизацию рисков).
Даже у крупных компаний бывают пробелы в защите. Лучшее время для проверки бэкапов – до атаки, а не после.
Если ваш бизнес зависит от данных – давайте обсудим, как сделать резервное копирование надежным, быстрым и неуязвимым к ransomware.