Рост числа атак шифровальщиков изменил подход к защите данных. Если раньше основными угрозами считались аппаратные сбои и человеческие ошибки, то сегодня злоумышленники целенаправленно атакуют системы резервного копирования, стремясь удалить или зашифровать резервные копии перед нанесением основного ущерба. В таких условиях наличие бэкапов само по себе перестало быть гарантией восстановления.
Одним из ключевых механизмов защиты является неизменяемость резервных копий. Этот подход позволяет сделать резервные данные недоступными для удаления или изменения в течение заданного периода времени даже при компрометации учётных записей или административных привилегий.
Почему обычных бэкапов больше недостаточно
Современные атаки ransomware редко ограничиваются шифрованием рабочих данных. Злоумышленники стремятся получить доступ к системам резервного копирования, удалить репозитории, изменить политики хранения или зашифровать резервные копии. Если это удаётся, организация лишается возможности восстановиться.
Особенно уязвимыми оказываются среды, где:
- резервные копии находятся в той же зоне доступа, что и продуктивные системы;
- используется единая доменная аутентификация;
- отсутствует изоляция хранилищ;
- администраторские учётные записи имеют избыточные права.
В таких условиях защита резервных копий становится не менее важной задачей, чем защита продуктивной инфраструктуры.
Что такое неизменяемость в СРК
Неизменяемость (immutability) означает, что данные после записи не могут быть изменены или удалены в течение заданного срока хранения. Даже администратор системы не может удалить такие копии до истечения установленного периода.
Технически неизменяемость может реализовываться различными способами:
- режим WORM (write once — read many);
- блокировка удаления на уровне файловой системы;
- политики удержания на объектных хранилищах;
- аппаратные механизмы защиты носителей;
- изолированные хранилища с односторонним доступом.
Цель неизменяемости заключается в том, чтобы гарантировать сохранность резервных копий даже при компрометации инфраструктуры.
Неизменяемость и air-gap: в чём разница
Неизменяемость часто путают с air-gap защитой, однако это разные механизмы.
Air-gap предполагает физическую или логическую изоляцию копий от основной сети. Это могут быть ленточные носители вне сети, отключаемые репозитории или изолированные среды хранения. Неизменяемость, в свою очередь, защищает данные от изменения и удаления даже при наличии доступа к хранилищу.
В ленточных библиотеках, например, линейки «СЕЛЕНГА», присутствует возможность создания физического разрыва между носителями и роботизированной системой, образующего эффект «воздушного зазора».
На практике максимальную защиту обеспечивает сочетание изоляции и неизменяемости.
Как неизменяемость реализуется в СРК
В современных системах резервного копирования неизменяемость реализуется на уровне хранилища и политики удержания данных. После записи резервной копии система блокирует возможность её удаления или изменения до истечения заданного срока хранения. Это обеспечивает защиту даже в случае компрометации административных учётных записей.
Многие решения реализуют неизменяемость через файловые и объектные хранилища. Например, при использовании Linux-репозиториев резервные файлы могут получать атрибут неизменяемости на уровне файловой системы, что физически блокирует их удаление или изменение до окончания срока удержания. Такой подход применяется в Veeam при использовании immutable-репозиториев, где защита реализуется средствами операционной системы и контролируется системой резервного копирования.
Другой распространённый подход связан с применением политик удержания и WORM-режимов на уровне пулов дедупликации или объектных хранилищ. В NetBackup неизменяемость может обеспечиваться через механизмы Retention Lock и WORM-хранение, при которых резервные копии сохраняются в неизменяемом виде на протяжении установленного срока и не могут быть удалены даже администраторами системы. Аналогичный принцип применяется при использовании объектных хранилищ с режимом Object Lock.
В корпоративных платформах резервного копирования неизменяемость тесно связана с управлением доступом и аудитом операций. В Commvault политики удержания применяются на уровне хранения и индексной базы, а удаление копий до истечения срока хранения может блокироваться системой независимо от уровня привилегий пользователя. Это позволяет защитить резервные данные от преднамеренного удаления и одновременно обеспечить контроль действий администраторов.
Во многих современных решениях неизменяемость дополняется записью резервных копий в объектные хранилища с поддержкой WORM-режима или в изолированные репозитории. Такой подход позволяет объединить защиту от удаления с географическим разделением данных и снижает риск потери копий при атаке на основную инфраструктуру.
Роль объектных хранилищ и WORM-режимов
Объектные хранилища стали важным элементом защиты резервных копий. Они поддерживают политики удержания и режимы неизменяемости, при которых объекты нельзя удалить или изменить до истечения заданного срока.
Этот подход особенно эффективен при хранении offsite-копий, так как обеспечивает:
- географическое разделение данных;
- защиту от удаления;
- высокую надёжность хранения;
- масштабируемость.
Использование неизменяемых объектных хранилищ создаёт дополнительный уровень защиты без усложнения инфраструктуры.
Неизменяемость и защита от компрометации учётных записей
Одним из наиболее распространённых сценариев атаки является компрометация учётных записей администраторов. Получив доступ к системе резервного копирования, злоумышленники пытаются удалить копии перед запуском шифрования.
Неизменяемые хранилища предотвращают такой сценарий, поскольку даже при наличии административных прав удаление копий становится невозможным до окончания срока удержания.
Дополнительную защиту обеспечивают:
- разделение ролей доступа;
- многофакторная аутентификация;
- изоляция сетевых сегментов;
- отдельные домены управления.
Ограничения неизменяемых резервных копий
Несмотря на очевидные преимущества, неизменяемость требует внимательного планирования. Установленный срок удержания нельзя сократить задним числом, поэтому ошибки в настройке могут привести к избыточному потреблению хранилища.
Кроме того, неизменяемость не защищает от логических ошибок в данных. Если повреждённые данные были записаны в резервную копию, они останутся неизменяемыми так же, как и корректные.
Необходимо учитывать и процедуры вывода систем хранения из эксплуатации. В отдельных сценариях производители предусматривают специальные механизмы снятия блокировки неизменяемости для аварийных операций или миграции данных, однако такие действия требуют строгого контроля и регламентированных процедур.
Неизменяемость как часть комплексной защиты
Неизменяемость не является самостоятельной стратегией защиты, а выступает частью многоуровневой архитектуры безопасности. На практике её необходимо использовать совместно с:
- правилом 3-2-1 и его вариациями;
- репликацией данных;
- изолированными хранилищами;
- многоуровневым хранением;
- регулярным тестированием восстановления.
Такой подход позволяет защитить резервные копии не только от технических сбоев, но и от целенаправленных атак.
Заключение
Современные атаки ransomware показали, что наличие резервных копий само по себе не гарантирует восстановления. Если злоумышленники могут удалить или зашифровать бэкапы, организация теряет последний рубеж защиты.
Неизменяемость резервных копий обеспечивает защиту данных от удаления и изменения даже при компрометации инфраструктуры. В сочетании с изоляцией хранилищ, репликацией и продуманной архитектурой доступа она становится ключевым элементом устойчивости современных IT-систем.
Именно поэтому защита резервных копий сегодня рассматривается не как дополнительная функция, а как обязательный компонент стратегии защиты данных.
"ДИАМАНТ" - простые в использовании решения, которые помогают хранить, управлять, защищать, архивировать и анализировать огромные объемы данных организациям любого масштаба: от малого бизнеса до крупных корпораций и государственных учреждений.