Det moderna försvaret mot Ransomware
Tidigare var en backup en garanti för att kunna återskapa data om något gick fel. Idag har spelreglerna ändrats. Cyberkriminella vet att er backup är er livlina. Därför är moderna ransomware-attacker ofta designade för att först hitta och förstöra era säkerhetskopior, innan de krypterar produktionsdatan och kräver lösensumma.
Om er backup raderas, har ni inget val än att betala. Lösningen på detta hot heter Immutable Backup.
Vad är Immutable Backup?
Immutable backup (oföränderlig backup) är en säkerhetskopia som inte kan ändras, krypteras eller raderas under en bestämd retention-period — varken av användare, administratörer eller skadlig kod. Tekniken är dagens viktigaste skydd mot ransomware, eftersom angriparen inte kan radera de kopior som ska användas för återställning.
Tekniskt bygger immutable backup på WORM-lagring (Write Once, Read Many), S3 Object Lock i compliance-läge, eller filsystem som blockerar ändringar tills retention-tiden löpt ut.
Varför är detta kritiskt just nu?
Traditionella backuper som ligger på en vanlig nätverksdisk är sårbara. Om de är nåbara via nätverket med vanliga inloggningsuppgifter, är de sårbara för kryptering. Immutable backup skapar en ”luftlucka” (logisk air-gap) som garanterar att ni alltid har en ren kopia att återställa från, oavsett hur djupt in i systemet en angripare har tagit sig.
Hur skyddar immutable backup mot ransomware?
Modern ransomware försöker först hitta och radera backuper innan den krypterar produktionsdatan. Är backuperna oföränderliga misslyckas det steget. Organisationen kan då återställa från en garanterat ren punkt utan att betala lösensumma.
3-2-1-1-0 — den nya backup-standarden
| Siffra | Krav |
|---|---|
| 3 | Tre kopior av data (en produktion + två backuper) |
| 2 | Två olika lagringsmedier |
| 1 | En kopia på annan geografisk plats |
| 1 | En immutable eller air-gapped kopia |
| 0 | Noll fel vid återställningstest |
3-2-1-1-0 ersätter den klassiska 3-2-1-regeln eftersom den förra inte specifikt skyddar mot ransomware som kan attackera även off-site backuper.
Olika typer av immutability
- Hardware-baserad — fysiska tape-bibliotek eller WORM-diskar
- Object Lock (S3) — molnlagring i compliance-läge
- Filsystem-baserad — ZFS-snapshots, Linux append-only-attribut
- Backup-applikationens egen — Veeam Hardened Repository, Commvault Air Gap Protect
Så levererar Savecore oföränderlighet
I Savecores BaaS-tjänst (som bygger på marknadsledande teknik från Commvault) är funktionaliteten för immutable backup inbyggd. Vi ser till att era kritiska data lagras på media som är låst mot förändringar.
- Trygghet: Ni vet att ni kan återställa, även vid en total attack.
- Regelefterlevnad: Många försäkringsbolag och regelverk kräver idag immutable backups för att betala ut ersättning vid cyberbrott.
Vanliga frågor och svar om immutable backup
Kan man verkligen inte radera en immutable backup?
Nej, inte förrän den inställda tidsperioden (retention time) har löpt ut. Det är själva syftet. Det innebär också att om ni råkar ta backup på ”fel” data, måste ni vänta tills tiden gått ut innan utrymmet kan frigöras.
Skyddar detta mot datastöld?
Nej, immutable backup skyddar datan från att förstöras eller ändras. För att skydda mot att data stjäls och läcker ut (exfiltration) krävs kryptering och starka brandväggar. Immutable backup garanterar återställning, inte sekretess.
Kräver detta speciell hårdvara?
Det kan lösas både via hårdvara (specifika lagringsenheter med hårdvarulås) och via mjukvara i molnet (Object Lock i S3-lagring). Savecore hanterar den tekniska implementationen så att ni får funktionen som en tjänst.