Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Резервное копирование - ключевой элемент устойчивости бизнеса, но типовые ошибки в его организации способны сделать бэкапы бесполезными при атаке. В условиях роста числа инцидентов с шифровальщиками недостаточно следовать классическому правилу «3‑2‑1»: нужна расширенная модель «3‑2‑1‑0», которая закрывает векторы атак на сами хранилища. Ниже - практические принципы построения защищённого резервного копирования с учётом требований ИБ.
Почему «3‑2‑1» уже недостаточно
Правило «3‑2‑1» предполагает: не менее 3 копий данных, 2 разных типа носителей, 1 копия - на удалённой площадке. Однако оно не учитывает риски целенаправленных атак, при которых злоумышленник добирается до хранилища и уничтожает или шифрует все бэкапы. В таком сценарии компания теряет возможность восстановления - это точка невозврата.
Главные уязвимости стандартной схемы:
Постоянный двунаправленный канал между инфраструктурой и удалённым хранилищем. Он открывает путь для рекогносцировки сети и эксплуатации уязвимостей либо ошибок конфигурации.
Отсутствие проверки копий на вредоносное ПО. Заражённый бэкап при восстановлении повторно компрометирует инфраструктуру.
Нет контроля целостности. Из‑за аппаратных или системных сбоев файл может быть повреждён, и восстановление окажется невозможным.
Как усилить защиту: принцип «0» и «хранилище чёрного дня»
Расширенное правило «3‑2‑1‑0» добавляет критический элемент безопасности:
«3»: минимум три резервные копии, каждая из которых проверена профильными средствами защиты информации (СЗИ) - антивирусами, песочницами - и проконтролирована на целостность (через контрольные суммы).
«2»: копии хранятся минимум в двух хранилищах с разными типами физических носителей.
«1»: одно из хранилищ - «хранилище чёрного дня», максимально изолированное от основной инфраструктуры. Его размещают на удалённой площадке и отделяют от сети организации на физическом уровне.
«0»: хранилище чёрного дня не должно соединяться с другими сетями постоянным двунаправленным каналом. Это минимизирует риск заражения при восстановлении, если атака ещё не нейтрализована.
«Хранилище чёрного дня» строится на однонаправленных транспортных системах: данные могут поступать только в одну сторону. Такой подход существенно сужает поверхность атаки и защищает от сканирования сети и узлов хранилища.
Технические решения для изоляции и контроля
Для реализации модели «3‑2‑1‑0» применяют междоменные решения (МДР), которые контролируют потоки данных между сегментами:
Однонаправленные шлюзы (диоды данных). Обеспечивают физическую изоляцию на уровне L1 модели OSI: двунаправленные протоколы становятся технически невозможны. Это защищает от удалённого доступа, сканирования и эксплуатации легитимных протоколов.
Контроль на входе и в процессе хранения. Проверка на вредоносное ПО должна выполняться как при поступлении данных в хранилище, так и периодически во время хранения. Ответственность за безопасность потока данных берёт на себя транспортная подсистема (МДР).
Контроль целостности через контрольные суммы. Файлы контрольных сумм формируются до попадания бэкапа в хранилище и регулярно сверяются. Если система резервного копирования не поддерживает контрольные суммы, эту функцию реализует МДР.
Использование СЗИ в двух сегментах - корпоративном и сегменте хранилища - повышает защищённость: злоумышленнику придётся скомпрометировать оба сегмента, что значительно усложняет атаку.
Безопасное восстановление: как работать с изолированным хранилищем
При восстановлении после атаки важно не заразить инфраструктуру повторно. Для этого:
Минимизируют соединения хранилища чёрного дня с менее доверенными сегментами.
Используют однонаправленную передачу из хранилища в открытую инфраструктуру - через диод данных, направленный «из хранилища».
Применяют временные каналы строго регламентированной длительности. Например, средство временной коммутации сетей позволяет создать кратковременный канал для контроля или передачи данных. Если канал двунаправленный, требуются дополнительные компенсирующие меры защиты.
Такой подход гарантирует, что даже при незавершённой нейтрализации последствий атаки резервные копии останутся защищёнными.
Практические рекомендации для руководителя и ИБ‑специалиста
Пересмотрите МУиН (модель угроз и нарушителей) с учётом риска целенаправленного уничтожения бэкапов.
Внедрите физическую изоляцию критически важного хранилища (уровень L1) с помощью однонаправленных шлюзов.
Обеспечьте сквозной контроль данных: проверка на вредоносное ПО + контроль целостности на всех этапах.
Исключите постоянные двунаправленные каналы к хранилищу чёрного дня.
Пропишите регламенты восстановления, где чётко зафиксированы допустимые типы соединений, их длительность и ответственные лица.
Грамотно выстроенная система резервного копирования - это не просто бэкапы, а управляемая устойчивость: возможность быстро восстановиться после инцидента без потери данных и репутации. Модель «3‑2‑1‑0» с физической изоляцией и сквозным контролем данных превращает резервное копирование из формального требования в реальный защитный механизм.