Журнал "Information Security/ Информационная безопасность" #5, 2025

Защита информационных активов организации (баз данных, файловых хранилищ, конфигураций технологиче- ских систем, программных и аппаратных средств инфраструктуры, виртуальных машин) включает процессы резервного копирования и, в случае компрометации, восстановления их доступности. Построе- ние надежной системы резервного копи- рования и восстановления является ком- плексной задачей и требует детальной проработки вопросов обеспечения без- опасности. Золотым стандартом надежного резервного копирования считается пра- вило "3-2-1", которое гласит, что необхо- димо иметь не менее трех резервных копий всех данных, хранимых не менее чем в двух хранилищах с разными типа- ми физических носителей, одно из кото- рых должно находиться на удаленной площадке. Но этот принцип не учитывает угрозы, которые могут быть реализованы злоумышленником, скомпрометировав- шим инфраструктуру организации, а именно – нанесение максимального ущерба и невозможность быстрого вос- становления технологических и бизнес- процессов. Сформулируем принципы, позволяю- щие расширить правило за счет допол- нения его аспектами мер и решений в области ИБ. Рассмотрим типовые ошибки в области информационной без- опасности при организации резервного копирования. Правило "3-2-1" Правило "1" определяет необходи- мость хранения резервных копий отдель- но от инфраструктуры организации на удаленной площадке. Чаще всего такой площадкой выступает выделенное сер- верное или облачное хранилище, изо- лированное межсетевым экраном от основной инфраструктуры, но наличие постоянного двунаправленного канала в такое хранилище открывает дорогу злоумышленнику. В первую очередь, это связано с тем, что программные средства защиты, обеспечивающие сопряжения сетевых сегментов, могут иметь уязвимости "нулевого дня", а также ошибки в конфигурации, или допускать для атаки использование вполне легитимных протоколов. Что, в свою очередь, позволяет провести рекогносцировку сети, программных и аппаратных средств хранилища и в конечном итоге осуществить несанкцио- нированный доступ. Атаки, в которых злоумышленник смог дойти до системы хранения резервных копий, то есть осуществить несанкцио- нированный доступ к ресурсам храни- лища и зашифровать или уничтожить все хранящиеся в нем резервные копии, чаще всего становятся разрушительны- ми. Такой сценарий является наиболее экстремальным и часто приводит к точке невозврата для организации, так как лишает ее возможности восстановить утраченные в результате кибератаки данные и инфраструктуру. Таким обра- зом, недостаточно полная МУиН (модель угроз и нарушителей) и недооценка зло- умышленника при построении процесса резервного копирования могут привести к непоправимым последствиям. Безопасным и архитектурно правиль- ным подходом будет построение уда- ленного хранилища, устойчивого к угро- зам, связанным с несанкционированным доступом к его компонентам, сканиро- ванию состава его технических средств, топологии сети, эксплуатации двуна- правленных протоколов обмена с сетью хранилища. На практике это означает построение хранилища, изолированного на аппаратном (физическом) уровне. Аппаратные решения предполагают, что использование двунаправленных прото- колов должно быть невозможно именно на физическом (L1) уровне модели OSI. Решениями, которые обеспечивают такую защиту являются однонаправлен- ные шлюзы или диоды данных. Они обеспечивают разрыв двунаправленных протоколов, которые, в том числе, используются для удаленного несанк- ционированного доступа, а также защиту от сканирования сети и узлов сети хра- нилища, что существенно сужает воз- можности злоумышленника. Хранилища резервных копий, отде- ленные от основной инфраструктуры диодом данных, получили название "хра- нилища черного дня". Они являются максимально изолированными реше- ниями, построенными на непрерывно функционирующих физически однона- правленных транспортных системах, а также используются как последний доступный инструмент восстановления данных. Правило "2" касается вопросов про- ектирования хранилища резервных копий и выбора дня него технических средств и носителей информации. Оно является самодостаточным и напрямую не влияет на безопасность хранилища. Правило "3" требует иметь не менее трех резервных копий всех данных, но не учитывает другой широко распростра- ненный вектор атаки на хранилище резервных копий – его заражение вредо- носным программным обеспечением, например шифровальщиком, или зара- жение самой резервной копии, которая при попытке восстановления снова ском- прометирует инфраструктуру организа- ции. Оба сценария использования данного вектора атаки эксплуатируют недостаток многих систем резервного копирования, которые не имеют интеграции с система- ми антивирусного контроля или динами- ческого анализа. Попадание зараженного файла в хранилище резервных копий является недопустимым событием. По правилу "3" все создаваемые копии должны быть проверены на наличие вирусного заражения, причем как в момент входа – до поступления в систе- му резервного копирования, так и перио- дически – в процессе хранения данных в самом хранилище. Напрямую интег- рировать систему резервного копирова- ния и СЗИ не всегда представляется возможным. В значительной степени ответственность за безопасность пере- даваемых данных должна брать на себя транспортная подсистема, то есть одно- направленный шлюз или диод данных. Такие СЗИ относятся к классу междо- 60 • ТЕХНОЛОГИИ Непростительные ошибки резервного копирования т правила “3-2-1" к правилу “3-2-1-0". Как расширить золо- той стандарт резервного копирования с учетом типовых оши- бок информационной безопасности при его проектировании. О Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП Фото: АМТ-ГРУП