טיפים ומאמרים

גיבוי נגד כופרה: למה כלל 3-2-1 כבר לא מספיק, ומהו כלל 3-2-1-1-0?

גיבוי מקומי או גיבוי בענן: כל מה שצריך לדעת לפני שמחליטים

אם מתקפת כופר תפגע בעסק שלכם מחר, השאלה הקריטית אינה "האם יש לי גיבוי?" אלא "האם הגיבוי שלי ישרוד את המתקפה?". והתשובה, על פי הנתונים, מדאיגה: ברוב המוחלט של מתקפות הכופר, התוקפים מכוונים בכוונה תחילה גם אל הגיבוי. הפתרון העדכני הוא מעבר מכלל הגיבוי הקלאסי 3-2-1 לכלל המחמיר 3-2-1-1-0, שכולל עותק גיבוי אחד "מבוצר" (immutable) שלא ניתן לשנות או למחוק.

למה גיבוי "רגיל" כבר לא מספיק נגד כופרה?

במשך שנים, גיבוי היה הקו האחרון וההרמטי של ההגנה: גם אם נדבקתם בנוזקה, תמיד אפשר לשחזר ולחזור לעבודה. אבל תוקפי הכופר של היום למדו את השיעור הזה — והם תוקפים קודם כול את רשת הביטחון עצמה.

ההיגיון הפלילי פשוט: כל עוד יש לכם גיבוי תקין לחזור אליו, אין לכם סיבה לשלם. לכן, לפני שהם מצפינים את הקבצים, התוקפים מחפשים את הגיבויים ומנסים למחוק או להצפין גם אותם. גיבוי שמחובר באופן קבוע לרשת הארגונית — בין אם זה כונן חיצוני, שרת NAS או תיקייה משותפת — חשוף בדיוק כמו כל קובץ אחר.

הנתון שמסכם את הבעיה: על פי מחקר State of Ransomware 2024 של חברת האבטחה Sophos (סקר של 2,974 ארגונים שנפגעו מכופר, שנערך בתחילת 2024), ב-94% מהמקרים התוקפים ניסו לפגוע גם בגיבוי, ו-57% מהניסיונות הצליחו.

מה ההשלכה הכלכלית של גיבוי שנפגע?

כאשר הגיבוי נפגע, מאזן הכוחות מתהפך לרעת העסק — ובגדול. אותו מחקר של Sophos מצא:

  • דרישת הכופר הוכפלה כשהגיבוי נפגע (חציון של כ-2.3 מיליון דולר לעומת כמיליון דולר).
  • שיעור התשלום כמעט הוכפל: 67% מהעסקים שהגיבוי שלהם נפגע שילמו כופר, לעומת 36% מאלה שהגיבוי שלהם שרד.
  • עלות ההתאוששות הכוללת הייתה גבוהה פי 8: חציון של כ-3 מיליון דולר לעומת כ-375 אלף דולר.

מעבר למספרים, יש את הנזק השקט: זמן ההשבתה. עבור עסקים מסוימים, כל שעה שבה המערכות מושבתות עולה הון — בין שזה הזמנות שלא נכנסות, קו ייצור שעומד או לקוחות שלא מקבלים שירות. גיבוי שלא ניתן לשחזר ממנו במהירות הוא, בפועל, אסון עסקי.

מהו כלל הגיבוי הקלאסי 3-2-1?

לפני שנבין את ההתפתחות, נזכיר את הבסיס. כלל 3-2-1 הוא תקן הגיבוי הוותיק והמקובל בעולם, והוא קובע:

  • 3 עותקים של הנתונים (העותק החי + שני גיבויים).
  • 2 סוגי מדיה שונים לאחסון (למשל דיסק מקומי וענן).
  • 1 עותק לפחות מחוץ לאתר (off-site), להגנה מפני שריפה, גניבה או נזק פיזי.

הכלל הזה עבד מצוין בעידן שבו האיומים היו פחות מתוחכמים וממוקדים. הבעיה: הוא נועד להגן מפני תקלות ואסונות פיזיים — לא מפני תוקף אנושי שמחפש באופן אקטיבי את הגיבויים כדי להשמיד אותם.

מהו כלל 3-2-1-1-0 ולמה הוא הסטנדרט החדש?

כלל 3-2-1-1-0 הוא הגרסה המעודכנת של כלל הגיבוי, שנבנתה במיוחד לעידן הכופרה. הוא לוקח את הבסיס המוכר ומוסיף לו שתי שכבות הגנה קריטיות:

רכיב משמעות מה הוא מונע
3 שלושה עותקים של הנתונים כשל של טכנולוגיית אחסון אחת
2 שני סוגי מדיה שונים כשל של טכנולוגיית אחסון אחת
1 עותק אחד מחוץ לאתר  אסון פיזי באתר (שריפה, גניבה)
1 עותק אחד מבוצר (Immutable) מחיקה או הצפנה ע"י כופרה
0 אפס שגיאות בבדיקת השחזור גיבוי "מדומה" שלא באמת עובד

 

1 - העותק המבוצר (Immutable): עותק גיבוי שלא ניתן לשנות, להצפין או למחוק — גם לא על ידי מנהל מערכת בעל הרשאות מלאות, וגם לא על ידי כופרה. ברגע שנכתב, הוא נעול לפרק זמן מוגדר. זהו בדיוק העותק שמבטיח שתמיד יישאר לכם לאן לחזור.

0 - אפס שגיאות: גיבוי שווה בדיוק כמו השחזור שאפשר לבצע ממנו. רכיב ה-0 דורש שכל גיבוי ייבדק ויאומת אוטומטית, כדי לוודא שהוא תקין ושמיש ביום שבו תזדקקו לו.

איך RVM דואגת לגיבוי - ולהמשכיות העסקית - שעמידים בפני כופרה?

ב-RVM (אר.וי.אם מערכות) אנחנו לא רק מגבים — אנחנו דואגים שתהיה לכם רשת ביטחון אמיתית שתחזיק גם תחת מתקפה, ושהעסק ימשיך לתפקד. לשם כך יש לנו שני שירותים משלימים, שיחד מיישמים את עקרונות 3-2-1-1-0:

1. גיבוי ענן מבוצר כופר - כדי שלא תאבדו את המידע

שירות גיבוי ענן מבוצר כופר שלנו (קישור פנימי: https://rvm.co.il/מחשוב-ענן/גיבוי-ענן-מבוצר-לשרתים) הוא בדיוק העותק ה"מבוצר" (immutable) שכלל 3-2-1-1-0 מחייב:

  • גיבוי יומי ואוטומטי - בלי להסתמך על מישהו שיזכור ללחוץ על כפתור.
  • הצפנה מקצה לקצה - במקור (לפני שהמידע יוצא מהרשת שלכם), בתעבורה ובאחסון.
  • מנותק ומבוצר מפני כופרה - תוקף לא יכול למחוק או להצפין את העותק הזה, גם לא בהרשאות מנהל.
  • שחזור לכל נקודת זמן - חוזרים בדיוק לרגע שלפני התקלה.
  • אימות שחזור אוטומטי (רכיב ה-0) - כל גיבוי נבדק אוטומטית כדי לוודא שהוא תקין ובר-שחזור, כך שלא תגלו ביום הגרוע שהגיבוי "מדומה".

כך השירות מכסה בפועל את כל חמשת רכיבי כלל 3-2-1-1-0 — כולל ה"1" המבוצר וה"0" של אפס שגיאות בשחזור.

2. RVM DRaaS — כדי שתמשיכו לעבוד מיד

גיבוי מציל את המידע, אבל מה עם רציפות העסק? כאן נכנס שירות RVM DRaaS (קישור פנימי: https://rvm.co.il/אבטחת-מידע/rvm-draas) — התאוששות מאסון כשירות. במקום רק לשחזר קבצים, השירות מקים מחדש את כל סביבת העבודה בענן וממשיך מאותה נקודה, עם אובדן מידע מינימלי — בלי שתצטרכו לרכוש שרתים או חומרה נוספת, בתשלום חודשי נמוך. זו הדרך להמיר "שבועיים של שיתוק" ל"כמה שעות עד חזרה לפעילות".

יחד, שני השירותים נותנים מענה כפול: הגיבוי מציל את המידע, וה-DRaaS מציל את העסק עצמו.

לסיכום

עידן הכופרה שינה את כללי המשחק: גיבוי שמחובר לרשת ואינו מוגן הוא כבר לא רשת ביטחון, אלא עוד יעד עבור התוקף. הנתונים של Sophos ברורים — כמעט בכל מתקפה התוקפים מנסים לפגוע בגיבוי, ובמחצית מהמקרים הם מצליחים, מה שמכפיל את הכופר ומייקר פי 8 את ההתאוששות. המעבר לכלל 3-2-1-1-0 הוא הדרך הפשוטה והיעילה ביותר להבטיח שגם ביום הגרוע ביותר, יהיה לכם לאן לחזור.

שאלות ותשובות (FAQ)

מה זה גיבוי מבוצר (Immutable Backup)?

גיבוי מבוצר הוא עותק נתונים שלא ניתן לשנות, להצפין או למחוק לאחר שנוצר, למשך פרק זמן מוגדר מראש. גם תוקף עם הרשאות מנהל מלאות לא יכול לפגוע בו — ולכן הוא ההגנה היעילה ביותר מפני כופרה שמנסה להשמיד גיבויים.

מה ההבדל בין כלל 3-2-1 לכלל 3-2-1-1-0?

כלל 3-2-1 דורש 3 עותקים, על 2 סוגי מדיה, עם עותק 1 מחוץ לאתר. כלל 3-2-1-1-0 מוסיף עותק "1" מבוצר שלא ניתן למחוק, ו"0" שגיאות — אימות אוטומטי שהגיבוי תקין ושמיש. התוספות נועדו להתמודד עם כופרה שתוקפת את הגיבוי עצמו.

האם גיבוי בענן מספיק כדי להתגונן מפני כופרה?

לא בהכרח. גיבוי בענן שמסונכרן אוטומטית עם הקבצים עלול לשכפל גם קבצים מוצפנים, או להיות נגיש לתוקף דרך החשבון. כדי להיות מוגנים באמת, נדרש שהעותק בענן יהיה מבוצר ומבודד מהרשת.

כמה עולה השבתה של עסק בעקבות מתקפת כופר?

העלות משתנה לפי גודל וסוג העסק, אך מחקר Sophos מצא שעלות ההתאוששות החציונית של עסקים שהגיבוי שלהם נפגע עמדה על כ-3 מיליון דולר — פי 8 מעסקים שהגיבוי שלהם שרד.

איך אדע אם הגיבוי הנוכחי שלי עמיד בפני כופרה?

שאלו שלוש שאלות: האם יש עותק שלא ניתן למחוק גם בהרשאות מנהל? האם הגיבוי מבודד מהרשת? והאם מתבצעות בדיקות שחזור שמוכיחות שהוא עובד? אם התשובה לאחת מהן היא "לא" — הגיבוי שלכם חשוף.

רוצים לוודא שהגיבוי שלכם באמת ישרוד מתקפת כופר?

אל תחכו ליום הגרוע כדי לגלות שהגיבוי לא עובד. עם גיבוי ענן מבוצר כופר ו-RVM DRaaS תהיה לכם גם רשת ביטחון למידע וגם המשכיות לעסק. השאירו פרטים בטופס למטה, ומומחה פתרונות שלנו יחזור אליכם לבדיקה מהירה של מצב הגיבוי שלכם וייעוץ ללא התחייבות.

לקריאה נוספת:

אבטחת מידע - השירותים שלנו 
המשכיות עסקית - כל מה שצריך לדעת
טיפים להגנה מפני תוכנות כופר

השאירו פרטים כאן ומומחה פתרונות שלנו יחזור אליכם
אנא הזן שם מלא
אנא הזן דוא"ל חוקי
אנא הזן טלפון מלא כלל קידומת
אנא הזן שם חברה
Invalid Input
Invalid Input
5