Раньше ransomware шифровал данные. Сегодня — шифрует данные и удаляет бэкапы.
Статистика 2025: 94% атак ransomware целенаправленно уничтожают резервные копии; 30% атак приводят к простою бизнеса 11-30 дней. Бэкапы перестали быть страховкой — они стали целью.
Анатомия целевой атаки на бэкапы
Современные атаки на инфраструктуру многоэтапны и целенаправленны.
Типовая последовательность атаки: Социальная инженерия ↓ Компрометация учётной записи ↓ Изучение инфраструктуры ↓ Обнаружение систем резервного копирования ↓ Удаление бэкапов ↓ Шифрование рабочих данных ↓ Требование выкупа
Ключевое отличие от массовых атак: злоумышленники тратят время на изучение инфраструктуры.
Реальный сценарий атаки
Этап 1: Социальная инженерия
Злоумышленник представился специалистом ИБ. Убедил сотрудника перейти по фишинговой ссылке. Получил доступ к устройству с Google Authenticator. Результат: постоянный пароль + OTP-коды.
Этап 2: Компрометация инфраструктуры
Используя легитимные учётные данные, атакующий: получил доступ к консоли управления виртуализацией, изучил архитектуру сети, выяснил расположение систем резервного копирования.
Этап 3: Уничтожение защиты
Действия злоумышленника: загрузил шифровальщик на все виртуальные машины, получил доступ к консоли резервного копирования, удалил все бэкапы, зашифровал рабочие данные.
Итог: компания без данных и без возможности восстановления.
Главная ошибка защиты бэкапов
Типичный подход: «Бэкапы хранятся на отдельном сервере в той же сети. Доступ защищён паролем.» Проблема: злоумышленник внутри сети обходит все защиты.
Что не работает против целевых атак
| Защита | Почему не помогает |
|---|---|
| Отдельный сервер бэкапов | в той же сети, доступен изнутри |
| Защита паролем | учётные данные компрометированы |
| Резервирование в том же ЦОД | физически доступно из той же инфраструктуры |
| Доступ только для администраторов | именно их учётки и компрометируют |
Правильный подход: изоляция + неизменяемость + геораспределение.
Три уровня защиты бэкапов
Уровень 1: Неизменяемые копии (Immutable Backups)
Копия помечается как неизменяемая на заданный период.
Механизм immutable backup:
Создание резервной копии ↓ Пометка как immutable на 14 дней ↓ В течение 14 дней: нельзя удалить (даже администратору), нельзя изменить, нельзя перезаписать ↓ Через 14 дней: автоматическое удаление при ротации.
Даже с полным доступом к системе злоумышленник не может удалить защищённые копии.
Уровень 2: Изолированное хранение (Air Gap)
Бэкапы физически или логически отключены от основной сети.
| Метод | Реализация | Защита |
|---|---|---|
| Физический air gap | ленточные накопители отключены | максимальная |
| Логический air gap | сетевое хранилище доступно только для записи | высокая |
| Отдельная сеть | выделенная сеть бэкапа без маршрутизации | средняя |
Ключевой принцип: злоумышленник в основной сети не может получить доступ к бэкапам.
Уровень 3: Геораспределение
Копии хранятся в физически разных локациях.
Схема геораспределённого хранения:
Основной ЦОД ↓ Локальный бэкап (быстрое восстановление) ↓ Репликация ↓ Удалённый ЦОД (другой город).
Защита от: локальной катастрофы (пожар, затопление), компрометации инфраструктуры основного ЦОД, физического уничтожения данных.
Правило 3-2-1 в контексте целевых атак
Классическое правило требует адаптации для защиты от ransomware.
Правило 3-2-1 усиленное:
- 3 копии данных;
- 2 разных типа носителей;
- 1 копия в удалённой локации;
- изоляция от сети (air gap);
- неизменяемость (immutable).
Сравнение подходов
| Правило | Защита от | Не защищает от |
|---|---|---|
| Классическое 3-2-1 | отказ оборудования, пожар | целевое удаление бэкапов в сети |
| 3-2-1 + air gap | + целевые атаки с удалением | — |
| 3-2-1 + air gap + immutable | + попытки изменения защищённых копий | — |
Только комбинация всех мер обеспечивает защиту от современных угроз.
Защита системы резервного копирования
Бэкап-сервер — приоритетная цель атакующих.
| Мера | Реализация |
|---|---|
| Отдельная учётная запись | не используется для других систем |
| Привилегированный доступ | только через защищённый канал (Jump Host) |
| MFA обязательна | невозможен вход без второго фактора |
| Логирование всех действий | невозможно скрыть удаление бэкапов |
| Изолированная сеть | бэкап-сервер в отдельном сегменте |
Микросегментация сети
Разделение сети на изолированные сегменты снижает риск горизонтального перемещения.
Сегменты инфраструктуры:
[Рабочие станции] — изолированы от —> [Серверы приложений] ↓ [Серверы приложений] — изолированы от —> [Система бэкапа] ↓ [Система бэкапа] —> Доступ только для записи бэкапов.
Компрометация одного сегмента не даёт доступ к другому.
Организационные меры защиты
Технические меры работают только в связке с процессами.
| Процесс | Цель | Периодичность |
|---|---|---|
| Учебные фишинговые атаки | проверка бдительности сотрудников | ежемесячно |
| Отработка восстановления | проверка работоспособности бэкапов | ежемесячно |
| Аудит привилегированного доступа | контроль прав администраторов | ежеквартально |
| Пентесты инфраструктуры | поиск уязвимостей | ежегодно |
Регулярные учения выявляют проблемы до реальных инцидентов.
План аварийного восстановления (DRP)
DRP должен покрывать сценарий полной компрометации инфраструктуры.
Ключевые элементы DRP
- Сценарии инцидентов: от отказа оборудования до ransomware;
- Роли и ответственность: кто что делает при инциденте;
- Приоритеты восстановления: какие системы восстанавливать первыми;
- Контакты экстренной связи: аварийный чат, телефоны;
- Пошаговые инструкции: как восстановить каждую систему.
План бесполезен без регулярной отработки.
Признаки подготовки к атаке
Индикаторы компрометации, предшествующие атаке.
| Признак | Что означает |
|---|---|
| Вход с необычного устройства | возможная компрометация учётки |
| Доступ к системам бэкапа в нерабочее время | разведка инфраструктуры |
| Множественные неудачные попытки входа | подбор паролей |
| Изменение прав доступа | подготовка к атаке |
Раннее обнаружение даёт время на реагирование.
Целевые атаки на бэкапы требуют многоуровневой защиты. Три обязательных уровня: неизменяемые копии (immutable), изолированное хранение (air gap), геораспределение.
Дополнительные меры: микросегментация сети, контроль привилегированного доступа, регулярные учения, план аварийного восстановления. Ключевой принцип: злоумышленник внутри сети не должен иметь доступ к бэкапам. Правило 3-2-1 необходимо, но недостаточно — требуется изоляция и неизменяемость.
Частые вопросы
Что такое неизменяемые бэкапы (immutable)?
Резервные копии, помеченные как неизменяемые на заданный период (например, 14 дней). В течение этого времени нельзя удалить или изменить копию — даже с правами администратора. Защищает от целевого удаления бэкапов при компрометации инфраструктуры.
Почему правила 3-2-1 недостаточно против ransomware?
Классическое 3-2-1 защищает от отказа оборудования, но не от целевого удаления. Злоумышленник в сети может удалить все три копии, если они доступны. Требуется добавить air gap (изоляцию от сети) и immutable (неизменяемость).
Как часто тестировать восстановление?
Минимум раз в месяц. Целевые атаки могут скомпрометировать и систему бэкапов — без проверки это выявится только при попытке восстановления после реального инцидента. Тестирование должно быть автоматизировано и логироваться.