Immutable backup и правило 3-2-1: защита бэкапов от шифровальщиков
Шифровальщики давно научились искать и уничтожать резервные копии раньше, чем зашифруют продуктив: удаляют снимки, чистят каталоги бэкапов, отзывают доступ к хранилищу. Поэтому обычная копия данных больше не равна защите. Нужна копия, которую нельзя изменить или удалить до истечения срока хранения, — **immutable backup (неизменяемый бэкап)** — и грамотно выстроенное **правило 3-2-1**. **Если коротко:** ваша устойчивость к ransomware определяется не количеством копий, а тем, может ли злоумышленник до них дотянуться. Неизменяемость (WORM), изоляция и air gap, а также регулярные тесты восстановления превращают бэкап из «галочки» в реальную последнюю линию обороны. Ниже — как работает правило 3-2-1 и его расширение 3-2-1-1-0, какие угрозы грозят самим копиям и чем на них отвечать, плюс чек-лист отказоустойчивого бэкапа. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге систем резервного копирования](/rating/backup-ransomware-resilience).
Бэкап ценен только после проверки восстановления
Защита от шифровальщиков опирается на изоляцию копий, immutable-хранилища и регулярные проверки RPO/RTO.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Антон Смирнов
Старший редактор исследований ИБ-рынка
Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T
author
Полина Лебедева
Исследователь рынка ИБ-поставщиков
Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.
- 5 лет в market research, digital-аналитике и конкурентных обзорах
- Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Почему обычного бэкапа уже недостаточно
Современные ransomware-операторы работают по сценарию «сначала бэкапы, потом продуктив». Получив права в сети, они целенаправленно ищут серверы резервного копирования, удаляют снимки и точки восстановления, чистят дедуплицированные хранилища и шифруют сами архивы. Если копия лежит в той же сети, под теми же учётными записями и её можно перезаписать или удалить, то она падёт вместе с основными системами.
Отсюда смена парадигмы: бэкап нужно проектировать так, как будто атакующий уже внутри периметра и имеет администраторские права. Защищать требуется не только данные, но и сами резервные копии — их неизменяемость, изоляцию и проверяемую способность восстановиться. Именно это и кодируют правило 3-2-1 и понятие immutable backup.
Правило 3-2-1 и его расширение 3-2-1-1-0
Классическое правило 3-2-1 — это минимальный каркас отказоустойчивого хранения:
- **3 копии данных** — продуктив плюс минимум две резервные копии. - **2 разных носителя/типа хранилища** — чтобы отказ одной технологии не уносил все копии сразу. - **1 копия вне площадки (offsite)** — географически отдельно, на случай пожара, затопления или компрометации основной площадки.
Против шифровальщиков базового 3-2-1 уже мало, поэтому индустрия использует расширение **3-2-1-1-0**:
- **+1 — одна копия offline или неизменяемая (air gap / immutable)**, до которой атакующий не дотянется по сети. - **+0 — ноль ошибок при проверке восстановления**: копии регулярно тестируются, и тест проходит без замечаний.
Логика расширения простая: «лишняя» изолированная копия — это то, что переживёт компрометацию инфраструктуры, а «ноль ошибок» гарантирует, что в час Х бэкап действительно развернётся, а не окажется битым.
Вклад мер в устойчивость бэкапа к ransomware
Усреднённая редакционная оценка значимости мер для класса задач по открытым практикам. Это не вендорский бенчмарк и не заменяет проектирование под вашу инфраструктуру.
Как работает неизменяемость: WORM, immutable и air gap
Неизменяемость означает, что записанную копию нельзя изменить или удалить до конца заданного срока хранения — даже администратору, даже скомпрометированной учётной записью. Технически это реализуется по-разному:
- **WORM (Write Once Read Many)** — режим, при котором данные записываются один раз и далее доступны только на чтение. Исторически — ленты и оптические носители, сегодня — программный WORM в объектных хранилищах. - **Object Lock / immutability в объектном хранилище (S3-совместимом)** — блокировка версий объекта на срок хранения; удаление и перезапись запрещены политикой, а не доброй волей оператора. - **Неизменяемые снимки на СХД** — снапшоты, защищённые от удаления на уровне массива. - **Air gap (воздушный зазор)** — физическая или логическая изоляция копии от сети: офлайн-лента в сейфе, отключаемое реплицируемое хранилище, отдельный изолированный контур. До такой копии шифровальщик по сети не дотянется.
Важная деталь: неизменяемость должна быть подкреплена изоляцией прав. Если тот же администратор, чьи учётные данные украдены, может отключить immutability или сократить срок хранения, защита иллюзорна. Поэтому к WORM добавляют разделение ролей, отдельные учётные записи для бэкапа и многофакторную аутентификацию.
Угроза резервной копии и мера защиты
| Угроза бэкапу | Что делает злоумышленник | Мера защиты |
|---|---|---|
| Удаление точек восстановления | Чистит снимки и каталоги бэкапа после захвата сервера РК | Неизменяемость (immutable/Object Lock), запрет удаления до срока хранения |
| Шифрование архивов | Шифрует файлы резервных копий вместе с продуктивом | Изолированная/offline-копия (air gap), WORM-носитель |
| Кража учётных данных бэкапа | Использует админ-доступ к консоли РК | Отдельные учётные записи, MFA, разделение ролей |
| Боковое перемещение по сети | Дотягивается до хранилища копий из общей сети | Сегментация, изоляция контура бэкапа, offsite-копия |
| Тихое повреждение копий | Заранее портит архивы, чтобы восстановление сорвалось | Регулярные тесты восстановления, проверка целостности (цель «0 ошибок») |
| Сокращение срока хранения | Меняет политику retention, чтобы копии «состарились» | Блокировка изменения retention, неизменяемые политики, аудит изменений |
Почему тест восстановления — это и есть «0» в формуле
Самая частая ошибка — считать наличие заданий бэкапа доказательством защищённости. Бэкап существует не ради записи, а ради восстановления, и проверяется только восстановлением. «Ноль ошибок» в 3-2-1-1-0 — это требование регулярно разворачивать копии и убеждаться, что данные целостны, а целевые RTO/RPO достижимы.
Минимум, который стоит закрепить в регламенте: периодическое тестовое восстановление в изолированной среде, проверка целостности и согласованности приложений (а не только файлов), фиксация фактического времени восстановления и работа над расхождением с целевыми показателями. Как связать это с метриками непрерывности — в материале [RPO, RTO и Disaster Recovery](/research/rpo-rto-disaster-recovery-plan).
Чек-лист отказоустойчивого бэкапа против шифровальщиков
Как выстроить защиту бэкапов: 6 шагов
-
01
Инвентаризация и приоритизация
Определите критичные системы, целевые RPO/RTO и текущую схему резервного копирования.
-
02
Проектирование по 3-2-1-1-0
Заложите три копии, два носителя, offsite и обязательно изолированную/неизменяемую копию.
-
03
Включение неизменяемости
Настройте WORM/Object Lock и неизменяемые снимки, заблокируйте изменение retention.
-
04
Изоляция и доступ
Сегментируйте контур бэкапа, заведите отдельные учётные записи с MFA, разведите роли.
-
05
Тестирование восстановления
Введите регламент регулярных тестов с проверкой целостности и фиксацией времени восстановления.
-
06
Мониторинг и пересмотр
Настройте алерты по заданиям, периодически пересматривайте схему под новые угрозы и рост данных.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Системы резервного копирования сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом СРК](/rating/backup-ransomware-resilience): здесь — принципы и угрозы, там — сравнение конкретных решений по подтверждённым фактам. Полезно рядом: [рейтинг российских СРК 2026](/research/reyting-srk-rossiya-2026) и [чем заменить Veeam, Commvault и Acronis](/research/zamena-veeam-commvault-acronis).
Следующий шаг
Разобрались с принципами — переходите к сравнению поставщиков: **[рейтинг систем резервного копирования →](/rating/backup-ransomware-resilience)**. Полезно прочитать рядом: [рейтинг российских СРК 2026](/research/reyting-srk-rossiya-2026), [чем заменить Veeam, Commvault и Acronis](/research/zamena-veeam-commvault-acronis) и [как спланировать восстановление: RPO, RTO и DR](/research/rpo-rto-disaster-recovery-plan).
Частые вопросы
Что такое immutable backup простыми словами?
Это резервная копия, которую нельзя изменить или удалить до истечения заданного срока хранения — ни обычному пользователю, ни администратору, ни тому, кто украл его учётные данные. Реализуется через WORM или Object Lock в хранилище. Смысл — чтобы шифровальщик не смог уничтожить или зашифровать сами копии.
Чем 3-2-1-1-0 отличается от классического правила 3-2-1?
Базовое 3-2-1 (три копии, два носителя, одна offsite) защищает от отказов оборудования и аварий, но слабо — от ransomware. Расширение добавляет «+1» изолированную или неизменяемую копию (air gap/immutable) и «+0» — ноль ошибок при проверке восстановления, то есть регулярно протестированные копии.
Заменяет ли неизменяемость air gap, или нужно и то и другое?
Это дополняющие меры. Неизменяемость (WORM/Object Lock) защищает от удаления и перезаписи на доступном по сети хранилище, а air gap убирает сетевую досягаемость копии в принципе. Самые устойчивые схемы сочетают оба подхода и подкрепляют их разделением учётных записей и MFA.
Зачем тестировать восстановление, если бэкапы и так делаются?
Потому что ценность бэкапа измеряется только успешным восстановлением. Архив может оказаться битым, неполным или несогласованным на уровне приложения, а целевые RTO/RPO — недостижимыми. Регулярный тест («0 ошибок») — единственный способ убедиться, что в реальном инциденте копия развернётся.
На что смотреть при выборе системы резервного копирования в России?
На поддержку неизменяемости и Object Lock, изоляции и air gap, гибкость политик retention с защитой от их изменения, средства тестирования восстановления и мониторинга. Плюс наличие в реестре отечественного ПО и, при необходимости, сертификат ФСТЭК. Сравнить вендоров по подтверждённым сигналам можно в рейтинге СРК.
Источники и метод проверки
Шифровальщики давно научились искать и уничтожать резервные копии раньше, чем зашифруют продуктив: удаляют снимки, чистят каталоги бэкапов, отзывают доступ к хранилищу. Поэтому обычная копия данных больше не равна защите. Нужна копия, которую нельзя изменить или удалить до истечения срока хранения, — **immutable backup (неизменяемый бэкап)** — и грамотно выстроенное **правило 3-2-1**. **Если коротко:** ваша устойчивость к ransomware определяется не количеством копий, а тем, может ли злоумышленник до них дотянуться. Неизменяемость (WORM), изоляция и air gap, а также регулярные тесты восстановления превращают бэкап из «галочки» в реальную последнюю линию обороны. Ниже — как работает правило 3-2-1 и его расширение 3-2-1-1-0, какие угрозы грозят самим копиям и чем на них отвечать, плюс чек-лист отказоустойчивого бэкапа. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге систем резервного копирования](/rating/backup-ransomware-resilience).