Ehtiyat nüsxələrin ransomware-dan mühafizəsi: 3-2-1-1-0 qaydası

Əvvəllər məntiq sadə idi: nüsxələr var — rahat yatmaq olar. Bu gün bu, yalançı rahatlıqdır. Sahə müşahidələrinə görə, şifrələyici operatorlar taktikalarını dəyişdirib və getdikcə daha çox məhz ehtiyat nüsxələrin özünə hücum edir. Hesab sadədir: əgər ehtiyat nüsxələri məhv etmək və ya şifrələmək olsa, qurbanın bərpa olmaq üçün heç bir yolu qalmır və onun fidyə ödəmə ehtimalı artır.

Nəticədə sığortanız olmalı olan ehtiyat nüsxə özü hədəfə çevrilir. Şirkət illərlə müntəzəm nüsxə çıxara və hücum günü onların eyni şəbəkədə eyni giriş hüquqları ilə durduğuna görə əsas verilənlərlə birlikdə şifrələndiyini aşkar edə bilər. Buna görə sual «ehtiyat nüsxə çıxarırsınızmı»dan «ehtiyat nüsxələriniz sizə olan hücumdan sağ çıxacaqmı»a sürüşdü.

Yeni məlumatlar bunu təsdiqləyir. Mandiant M-Trends 2026 bunu ayrıca taktika kimi qeyd edir — «recovery denial», bərpadan imtina: iş sistemlərini şifrələməzdən əvvəl tanınmış qruplar (Akira, Qilin və başqaları) biznesin bərpa üçün arxalandığı şeyi — ehtiyat nüsxələri, autentifikasiya xidmətlərini və virtuallaşdırma mühitini — məqsədyönlü şəkildə sıradan çıxarır. Yəni ehtiyat nüsxələrə «bəzən» yox, plan üzrə, ilk növbədə hücum edilir.

Klassik ehtiyat nüsxə qaydası 3-2-1 kimi səslənirdi. Şifrələyicilərin təzyiqi altında o, 3-2-1-1-0-a təkamül etdi. Rəqəmlər üzrə araşdıraq:

• 3 — verilənlərin üç nüsxəsi. Əsas verilənlər üstəgəl minimum iki ehtiyat nüsxə. Bir nüsxə — ehtiyat deyil, illüziyadır.
• 2 — iki müxtəlif tip daşıyıcıda. Bir tip saxlanmanın sıradan çıxması bütün nüsxələri birdən öldürməsin deyə.
• 1 — bir nüsxə əsas meydançadan kənarda (off-site). Yanğın, su basması və ya bir məkanın sındırılması hər şeyi məhv etməməlidir.
• 1 — bir nüsxə dəyişdirilməz və ya offline. Bu, yeni, kritik elementdir: verilmiş müddət ərzində fiziki olaraq dəyişdirilməsi və ya silinməsi mümkün olmayan nüsxə. Məhz o, şifrələyici hücumundan sağ çıxır.
• 0 — bərpa yoxlamasında sıfır xəta. Ehtiyat nüsxə yalnız ondan real bərpa edildikdə işlək sayılır. Yoxlanmamış nüsxə — ümiddir, ehtiyat deyil.

Son iki rəqəm (1 və 0) — müasir mühafizəni «nüsxə haradasa durur» köhnəlmiş yanaşmadan fərqləndirən şeydir.

Dəyişdirilməz (immutable) nüsxə — verilmiş müddət ərzində dəyişdirilməsi və ya silinməsi mümkün olmayan ehtiyat nüsxədir. Məhz o, şifrələyiciyə birbaşa qarşı durur: verilənlər yazılır, amma müddət bitənədək onlara toxunmaq olmur.

Bu, vəziyyəti sizin xeyrinizə dəyişir. Hətta ən pis ssenaridə də — bədniyyətli şəbəkəyə girib administrator parollarını ələ keçirsə belə — strict rejimdə o, dəyişdirilməz nüsxəni üzərinə yaza və ya silə bilməz. Mühafizə müddəti bitməyənədək, yoxlanmış bərpa şərti ilə sizdə verilənləri fidyə ödəmədən qaytarmaq yolu qalır.

Səhv etdikləri vacib detal: dəyişdirilmədən mühafizənin müxtəlif rejimləri olur. Soft rejimdə administrator mühafizəni vaxtından əvvəl götürə bilər — deməli, onun girişini oğurlayan hücumçu da bunu edə bilər. Etibarlı mühafizəni strict rejim verir, burada blokirovkanı müddətdən əvvəl heç kim götürə bilməz. Buna görə biz defolt olaraq strict rejimi qururuq.

Ən acınacaqlı fəlakət — nüsxələr var, amma onlardan bərpa olmaq alınmır: zədələnmiş arxiv, natamam verilənlər, unudulmuş baza. Buna görə qaydada «0» var: müntəzəm bərpa yoxlaması. Ehtiyat nüsxə işlək statusunu yalnız ondan test mühitində sistem real olaraq açıldıqdan sonra alır. Qalan hər şey — «nüsxə durur»dur, «biz qorunmuşuq» deyil. Bu prinsip bizdə verilənlərin etibarlılığı çek-listində də qeyd olunub.

Addım-addım, ehtiyat nüsxələrin mühafizəsini necə qururuq:

1. İnventarizasiya. Konkret nəyin ehtiyat nüsxəsini çıxarırıq, nə qədər tez-tez və itkinin nə dərəcədə kritik olduğu (bu, nüsxələrin tezliyini müəyyən edir).
2. Lokal nüsxə gündəlik nasazlıqların sürətli bərpası üçün.
3. Off-site nüsxə — əsas meydançadan ayrı (başqa məkan və ya saxlanma).
4. Strict rejimdə dəyişdirilməz nüsxə — şifrələyicidən və silinmədən mühafizə.
5. Nüsxələrin şifrələnməsi ki, saxlanma oğurlananda verilənlər faydasız olsun.
6. Müntəzəm bərpa yoxlaması — ehtiyat nüsxədən planlı açılma ki, «0 xəta» şüar yox, fakt olsun.
7. Giriş nəzarəti və jurnallaşdırma — kimin və nüsxələrlə nə etdiyi.

Konkret parametrlər (nüsxələri nə qədər tez-tez çıxarmaq, nə qədər tez bərpa etmək, dəyişdirilməzliyi hansı müddətə fiksə etmək) sizin biznesinizin kritikliyinə uyğun seçilir və müqavilədə fiksə olunur — hamı üçün vahid «düzgün» rəqəmlər yoxdur.

Belə mühafizəni öz qüvvələrinizlə qurmaq, yaxud xidmət kimi ehtiyat nüsxə (backup as a service, BaaS) qoşmaq olar — burada nüsxələri, dəyişdirilməzliyi və bərpa yoxlamasını podratçı qurur və saxlayır. Mahiyyət etibarilə bu, elə sizin fəlakətdən bərpanızdır (disaster recovery): biznesin nasazlıq və ya hücumdan sonra işə qayıtdığı əvvəlcədən hazır plan. Ətraflı — infrastruktur və xidmət kimi ehtiyat nüsxə.

Bu barədə düşünməyi sevmirlər, amma mühafizənin olmamasının qiyməti realdır: biznesin dayanması, toplanmış verilənlərin itkisi, reputasiya zərbəsi və — ən pis halda — verilənlərin qaytarılacağına zəmanət olmadan fidyənin ödənməsi. Bu fonda düzgün qurulmuş ehtiyat nüsxələmənin dəyəri, bir qayda olaraq, mümkün zərərdən nəzərəçarpacaq dərəcədə aşağıdır. Bu, «hər ehtimala qarşı» xərc maddəsi deyil, anlaşılmaz riskə qarşı anlaşılmaz qiyməti olan sığortadır.

• 3-2-1-1-0 qaydası nədir? Verilənlərin üç nüsxəsi, iki tip daşıyıcıda, biri meydança kənarında, biri dəyişdirilməz, bərpa yoxlamasında sıfır xəta. Ehtiyat nüsxələrin şifrələyicilərdən mühafizəsinin müasir standartı.
• Dəyişdirilməz (immutable) ehtiyat nüsxə nədir? Verilmiş müddət ərzində üzərinə yazıla və ya silinə bilməyən nüsxə; düzgün qurulmuş strict rejimdə bunu administrator daxil olmaqla praktiki olaraq heç kim edə bilmir. Buna görə şifrələyici onu, bir qayda olaraq, nə üzərinə yazar, nə də silər.
• Niyə adi ehtiyat nüsxə ransomware-a qarşı kifayət deyil? Çünki sahə müşahidələrinə görə, hücumlar tez-tez ehtiyat nüsxələrdən başlayır. Əgər onlar eyni şəbəkədə eyni hüquqlarla durursa, əsas verilənlərlə birlikdə şifrələnəcək.
• Şifrələyicidən sonra verilənləri necə bərpa etməli? Hücumun toxunmadığı dəyişdirilməz nüsxədən sistemi açmaqla, əvvəlcədən onun bərpaya yoxlandığına əmin olaraq. Onda fidyə ödəmək lazım deyil.
• Fidyəsiz bərpa olmaq olarmı? Bəli — əgər bütöv dəyişdirilməz nüsxə və yoxlanmış bərpa varsa. Onda hücum fəlakət yox, idarə olunan insidentə çevrilir.
• Ehtiyat nüsxələrin mühafizəsini autsorsa vermək olarmı? Bəli — bu, xidmət kimi ehtiyat nüsxədir (BaaS): podratçı nüsxələri, dəyişdirilməzliyi və bərpa yoxlamasını qurur və saxlayır. Ətraflı — infrastruktur.
• Nüsxələri nə qədər tez-tez çıxarmaq və yoxlamaq lazımdır? Nasazlıqda nə qədər verilən itirməyə hazır olduğunuzdan asılıdır. Konkret tezliyi və bərpa sürətini biznesin kritikliyinə uyğun seçir və müqavilədə fiksə edirik.