Еще в начале 2000-х годов американский фотограф Питер Крох сформулировал правило хранения электронных фотографий «3–2–1», которое сейчас применяется при организации резервного копирования данных во многих компаниях. Согласно этому правилу, данные нужно хранить в трех экземплярах (копиях): основная (или «продукционная») копия данных, которая используется в работе («продуктиве»), и еще две резервные копии. Двойка в этом правиле указывает, что эти копии нужно хранить на двух разных носителях (в начале 2000-х это чаще всего означало, что данные хранятся на жестком диске компьютера и на компакт-дисках/магнитной ленте, а сейчас – на внутреннем твердотельном/жестком диске и на магнитной ленте/внешнем жестком диске/в облачном хранилище). Наконец, единица подразумевает, что одна из двух резервных копий должна храниться удаленно, т.е. как можно дальше от продукционных систем, например, в публичном облаке, специальном хранилище для магнитных лент или на другой площадке компании.

Применение правила «3–2–1» защищает данные от риска потери из-за сбоя отдельных аппаратных компонентов продукционной системы (например, из-за поломки одного из накопителей дискового массива), ошибок в работе приложений, которые приводят к порче данных, или ошибок пользователей (случайного удаления файлов и электронных писем). В этом случае данные можно быстро восстановить с резервной копии, которая хранится на той же основной площадке, где установлены продукционные системы. Вторая резервная копия необходима на случай крупных аварий и катастроф, которые способны вывести из строя или на длительное время нарушить работу оборудования на основной площадке, в результате чего нельзя будет восстановить данные по хранящейся там резервной копии (например, если в здании офиса произойдет пожар или если помещение, где установлены серверы и системы хранения, окажется затопленным в результате прорыва труб системы отопления). При таком сценарии восстановление данных возможно только с помощью хранящихся удаленно резервных копий.

Программы-вымогатели – новые угрозы

Уже несколько лет программы-вымогатели, которые проникают внутрь ИТ-инфраструктуры, используя слабые места в ее системе безопасности, и незаметно для пользователей шифруют ее данные, рассматриваются как самая опасная киберугроза. Например, согласно результатам проведенного аналитическим агентством Enterprise Strategy Group (ESG) опроса 600 ИТ-специалистов и экспертов по информационной безопасности, 79% компаний в течение прошлого года подвергались атакам программ-вымогателей, причем в 73% случаев эти атаки привели к значительным финансовым потерям компании либо нарушили ее бизнес-операции. 13% респондентов заявили, что шифровальщики атакуют их ИТ-системы каждый день, а 34% – каждую неделю либо каждый месяц. По данным компании Check Point Software, в 2021 г. число атак программ-вымогателей выросло на 93% по сравнению с предыдущим годом.

С учетом возросшего риска атак шифровальщиков разработчики ПО резервного копирования дополнили свои продукты функциями, которые позволяют на раннем этапе обнаружить признаки таких атак и оперативно принять меры для их отражения. Например, пакет программ резервного копирования и восстановления компании Commvault размещает специальные файлы-приманки Honeypot («горшочки с медом»), по изменению сигнатур которых можно быстро понять, что происходят какие-то подозрительные изменения данных.

Однако можно ли будет восстановить данные по резервным копиям, созданным в соответствии с правилом «3–2–1», если программа-вымогатель все-таки проникнет на продукционные системы незамеченной и зашифрует их данные? К сожалению, в этом случае существует большой риск, что после очередного выполнения процедур перезаписи резервных копий они будут содержать те же самые зашифрованные вымогателем данные, что и копии на продукционных системах, и поэтому по ним невозможно будет восстановить продукционные данные в том виде, в каком они были до атаки шифровальщика. К тому же уже появились «продвинутые» программы-вымогатели, которые при атаке сразу пытаются шифровать не только продукционные данные, но и их резервные копии.

Еще одна единица для «3–2–1»

С учетом возросших рисков для данных из-за программ-вымогателей и другого вредоносного ПО разработчики технологий резервного копирования обновили правило «3–2–1» и теперь рекомендуют организовать резервирование по схеме «3–2–1–1». Дополнительная единица в новом правиле означает, что хотя бы одна из двух резервных копий должна быть immutable (неизменяемой), т.е. гарантировать невозможность изменения записанных данных чтобы программы-вымогатели не могли никаким образом изменить содержимое этой копии. Таким образом, если в результате атаки шифровальщика будут зашифрованы основная копия продукционных данных и первая резервная копия, то по неизменяемой резервной копии можно будет успешно восстановить продукционные данные.

Для создания этой неизменяемой резервной копии применяется принцип «подушки безопасности» (airgap). С помощью этой подушки безопасности копия должна быть полностью изолирована (на физическом либо логическом уровне) от продукционных систем, чтобы исключить доступ к ней программ-вымогателей при успешной атаке на ИТ-инфраструктуру. Для хранения неизменяемых резервных копий можно применять съемные носители с однократной записью, например, магнитные ленты LTO WORM (write-once-read-many), либо воспользоваться сервисами неизменяемого хранения, которые предлагают провайдеры публичных облаков, в частности, Microsoft Azure или Amazon Web Services (AWS). Кроме того, на рынке уже появились специализированные системы для неизменяемого хранения данных, такие как OneXafe известного разработчика технологий резервного копирования компании ArcServe. В таких системах неизменяемые копии данных хранятся на внутренних дисках и/или в облаке, а функционал WORM, обеспечивающий неизменяемость резервных копий, реализуется на уровне программного обеспечения.