Резервную копию изменить нельзя: защита от вымогателей без простоев и компромиссов
Изображение: recraft
Данные сегодня — это не просто ресурс, а фундамент бизнеса. Их потеря может означать остановку критических процессов, срыв SLA, прямые финансовые потери и долгосрочный удар по репутации.
Рост числа кибератак и увеличение количества сбоев в работе ПО и железа заставляют искать надежные методы защиты. Неизменяемые резервные копии и изолированное хранилище стали ключевым элементом стратегии киберустойчивости: они позволяют восстановить данные даже в самых критичных сценариях и минимизировать простой.
Причины, по которым бизнес массово инвестирует в современные системы резервного копирования, связаны не только с киберугрозами, но и с усложнением самой ИТ-среды.
По данным Monq Digital Lab, в третьем квартале 2024 года количество сбоев в российских компаниях увеличилось на четверть по сравнению с предыдущим годом, и связано это прежде всего с устаревшими активами и усложнением инфраструктуры. Человеческий фактор остается основной причиной утечек: эксперты оценивают, что до 90 % потерь происходит по вине сотрудников, будь то случайное удаление файлов или использование небезопасных устройств. Дополнительный риск создает «лоскутная» инфраструктура, появившаяся на волне импортозамещения: многие вынуждены интегрировать решения от разных поставщиков, что повышает вероятность их несовместимости, ошибок настройки и проблем с управлением доступом. Облачные сервисы тоже не дают полной гарантии: ошибки конфигурации и DDoS-атаки приводят к недоступности, а утечки через облака в 2019 году затронули более 8 миллиардов записей по всему миру, в том числе 122 миллиона в России. Все это показывает, что классическая защита периметра уже не способна обеспечить целостность данных.
Особенно опасными остаются программы-шифровальщики. Они парализуют работу, шифруя данные и требуя выкуп. Даже сильная ИБ-система не может гарантировать стопроцентную защиту: фишинг, уязвимости нулевого дня и человеческие ошибки оставляют «окна возможностей» для злоумышленников.
Единственный способ разорвать цепочку шантажа — иметь готовые резервные копии, которые невозможно изменить или удалить, и держать их в изолированном хранилище с ограниченным доступом. В этой связи принцип 3-2-1 остается золотым стандартом защиты данных: создание как минимум трех копий на двух разных типах носителей и хранение одной такой копии в удаленном или изолированном месте.
Сегодня этого недостаточно без дополнительного режима неизменяемости, при котором копии защищены от удаления или модификации в течение заданного срока. Изолированное хранилище в идеале отделено от продуктовой сети, оно использует отдельные учетные записи и многофакторную аутентификацию, а удалить данные можно только по специальной процедуре и с отслеживанием действий в журналах безопасности. Такой подход обеспечивает «последнюю линию обороны», сохраняющуюся даже при полном заражении инфраструктуры.
Object Lock, режимы governance/compliance и защита по принципу WORM
На практике режим неизменяемости все чаще реализуется на уровне объектных хранилищ через механизм Object Lock.
Object Lock — это функция, которая позволяет запретить удаление или перезапись объектов в течение заданного периода времени или бессрочно. По сути это программная реализация модели WORM (Write Once, Read Many): данные один раз записываются и могут только читаться, но не изменяться и не уничтожаться, пока действует политика удержания.
При использовании WORM вместо изменения создаются новые версии, а старые остаются доступными для чтения и аудита. Для резервного копирования это критично: даже если злоумышленник или ошибочный скрипт попытается удалить резервные копии, защищенные по принципу WORM, хранилище просто не выполнит эту операцию.
Object Lock обычно поддерживает два основных режима:
- Governance mode
Это режим «управляемой» неизменяемости, ориентированный на защиту от ошибок и действий обычных администраторов или прикладных систем. Объекты нельзя удалить или модифицировать до окончания срока удержания даже при полном доступе к учетным записям резервного копирования. При этом в экстренных случаях предусмотрена возможность, чтобы поменять или сократить срок удержания — но только для специально выделенных привилегированных ролей и, как правило, с применением дополнительных процедур: многофакторной аутентификации, согласования, аудируемых операций. Такой апотпгь удобен для ИТ-практики: он позволяет защититься от большинства инцидентов, сохраняя гибкость при форс-мажорах.
- Compliance mode
Этот строгий режим ориентирован на выполнение регуляторных требований и работу с юридически значимыми данными. После установки политики удержания объект становится по-настоящему неизменяемым: ни один администратор, даже с максимальными правами, не может сократить срок удержания или удалить объект до его истечения. Это соответствует классической модели WORM и используется там, где важна доказуемая неизменяемость: для финансовых транзакций, логов безопасности, медицинских записей и других критичных наборов данных. Включение такого режима требует продуманной политики жизненного цикла, так как ошибки в сроках удержания исправить уже нельзя.
Дополнительно Object Lock нередко дополняется механизмом legal hold — «юридического удержания», когда объект помечается как защищенный до особого решения, независимо от установленного срока хранения. Это удобно при расследовании инцидентов, спорах и проверках: данные нельзя удалить, пока удержание не будет снято в установленном порядке.
Для системы резервного копирования (СРК) это означает, что резервные копии могут записываться в объектное хранилище сразу с заданной политикой Object Lock: нужным сроком удержания и выбранным режимом (governance или compliance). Важно, что система управляет логикой создания и восстановления копий, а само объектное хранилище выступает независимым «арбитром», который не позволит удалить или изменить защищенные объекты, даже если права в СРК или домене скомпрометированы.
Важную роль играет и архитектура управления доступом. В зрелых практиках роли администраторов резервного копирования и администраторов объектного хранилища разведены: одни отвечают за расписания, политики RPO/RTO и сценарии восстановления, другие — за политики Object Lock и WORM-защиту. Это снижает риск злоупотреблений и делает систему устойчивой даже к компрометации отдельных учетных записей.
Во многих современных решениях для резервного копирования, например, в RuBackup, уже реализованы либо планируются к внедрению механизмы автоматического включения Object Lock при размещении бэкапов в S3-совместимых объектных хранилищах. Администратор один раз задает политики: сроки удержания, режим governance или compliance для разных классов данных, а дальше система сама применяет их на уровне хранилища.
В результате компания получает по-настоящему неизменяемые копии, которые остаются доступными для восстановления даже в случае полного захвата производственной инфраструктуры и учетных записей.
Правильно настроенный Object Lock не заменяет процессы, но усиливает их: при продуманной классификации данных, корректных сроках хранения и регулярных тестах восстановления WORM-защита становится ключевым элементом «последней линии обороны» — тем уровнем, на котором шифровальщику уже просто нечего зашифровать или удалить.
Практика показывает, что это работает. На одном из промышленных предприятий был случай, когда из-за ошибки конфигурации при обновлении MES пострадала часть транзакционных данных. Поскольку простой конвейера критичен, восстановление делалось из инкрементальных копий, а полные еженедельные бэкапы хранились в объектном репозитории с политикой неизменяемости. Восстановление заняло менее одного рабочего дня, что позволило избежать остановки производства. В финансовом секторе известен пример, когда после атаки шифровальщика злоумышленники пытались удалить снимки в основном репозитории, но политики неизменяемости предотвратили потерю данных. Сервисы восстановили из изолированного хранилища, предварительно проверив чистоту копий в «песочнице», и выкуп выплачивать не пришлось. В госсекторе в условиях быстрого импортозамещения применение централизованной СРК позволило обеспечить стабильные окна резервного копирования, предсказуемые показатели восстановления и соответствие требованиям регуляторов. Все эти кейсы демонстрируют: сегодня неизменяемость и изоляция резервных копий — критические элементы для обеспечения SLA и бизнес-устойчивости.
Современные системы резервного копирования требовательны к производительности, масштабируемости и безопасности. Они должны поддерживать горизонтальное масштабирование, чтобы справляться с растущими объемами данных без остановки процессов, обеспечивать сквозное защитное преобразование и строгую ролевую модель доступа, уметь автоматически проверять восстановление и интегрироваться с SIEM-инструментами для обнаружения аномалий. Все это позволяет компаниям гарантировать соответствие SLA и уверенность в том, что восстановление будет успешным в любой момент времени.
Отдельное внимание уделяется импортозамещению. Бизнесу важно не просто заменить зарубежные продукты, но и получить зрелое сертифицированное решение, совместимое с отечественными платформами. Предлагающий его вендор должен обеспечивать поддержку 24/7, прозрачные SLA и помощь в миграции — это становится фактором успеха при быстро меняющемся ИТ-ландшафте. Технология — только часть решения. Не менее важны процессы: классификация данных, определение RTO/RPO, архитектура хранения с учетом изоляции и георезервирования, управление доступом по принципу разделения обязанностей, регулярное тестирование восстановления и пересмотр планов реагирования. Те, кто интегрирует эти практики в свою операционную модель, сокращают время простоя и минимизируют риски.
Экономическая сторона вопроса очевидна: стоимость одного часа простоя критичных сервисов часто превышает затраты на внедрение СРК. Современные решения с дедупликацией, компрессией и инкрементальными цепочками позволяют экономить на хранилищах, не жертвуя надежностью. Регулярные тесты восстановления и проведение учений по disaster recovery сокращают время на устранение инцидентов и уменьшают ущерб. Сегодня резервное копирование перестало быть «страховкой на полке». Это производственная система, равная по важности ERP и платежной инфраструктуре. Она должна работать всегда, обеспечивать предсказуемость и поддерживать проверенные процедуры восстановления. Бизнес, который продолжает экономить на защите данных, подвергает риску не только прибыль, но и свое существование. А те, кто делает ставку на неизменяемые копии и изолированное хранение, получают реальное конкурентное преимущество и уверенность в завтрашнем дне.
Статью подготовили инженеры-эксперты входящего в «Группу Астра» разработчика системы резервного копирования, восстановления и защиты данных RuBackup Владислав Печников и Альберт Богданов.
