Backup que sobrevive a ransomware: a regra 3-2-1 explicada

A regra 3-2-1 de backup é uma estratégia de proteção de dados que exige manter 3 cópias totais dos seus dados, armazenadas em 2 tipos diferentes de mídia, com pelo menos 1 cópia mantida em um local externo (offsite) ou na nuvem. Quando aplicada contra ransomware, essa arquitetura garante que, mesmo se a rede local for totalmente comprometida e criptografada, uma cópia isolada permanecerá intacta para garantir a recuperação completa do sistema sem a necessidade de pagar resgates.

Principais Aprendizados

• A regra 3-2-1 elimina o ponto único de falha ao diversificar mídias e localizações físicas ou lógicas.
• Backups tradicionais conectados à rede (NAS/SAN) não sobrevivem a ransomwares modernos; é preciso isolamento.
• A evolução da regra exige a implementação de "Air-Gap" e "Imutabilidade" (WORM) para impedir exclusões maliciosas.

O que é a Regra 3-2-1 de Backup?

Criada originalmente pelo fotógrafo Peter Krogh no início dos anos 2000 e rapidamente adotada pela indústria de TI, a regra 3-2-1 é o padrão ouro para a resiliência de dados. A lógica por trás dessa metodologia é matemática: a probabilidade de três falhas simultâneas em sistemas independentes é estatisticamente quase zero.

• 3 Cópias de Dados: Você deve ter os dados originais de produção e mais duas cópias de segurança.
• 2 Tipos de Mídia: As cópias devem estar em tecnologias diferentes (ex: um servidor NAS local e fitas LTO, ou discos rígidos e armazenamento em nuvem S3).
• 1 Cópia Offsite: Pelo menos uma cópia deve estar fisicamente e logicamente separada da rede principal (nuvem, datacenter secundário ou cofre físico).

Por que backups comuns falham contra Ransomware?

Historicamente, backups eram projetados para proteger contra falhas de hardware (HDDs queimados) ou desastres naturais. No entanto, o cenário de ameaças mudou. As gangues de cibercriminosos sabem que, se você tiver um backup acessível, não pagará o resgate.

Hoje, a anatomia de um ataque ransomware moderno envolve semanas de "dwell time" (tempo de permanência). Os invasores ganham acesso à rede, escalam privilégios, mapeiam os servidores de backup (como Veeam, Commvault ou servidores de arquivos do Windows) e, antes de dispararem a criptografia nos dados de produção, eles deletam ou corrompem silenciosamente todos os repositórios de backup e as cópias de sombra (Volume Shadow Copies).

Se o seu backup está no mesmo domínio do Active Directory que o resto da empresa, e o domínio é comprometido, o seu backup também será.

A evolução: Regra 3-2-1-1-0 (Imutabilidade e Air-Gap)

Para combater as táticas avançadas de extorsão dupla e tripla, a regra original evoluiu. Segundo diretrizes de agências governamentais, como a CISA (Cybersecurity and Infrastructure Security Agency) dos Estados Unidos, a infraestrutura moderna exige a regra 3-2-1-1-0.

Os novos números representam:

• 1 Cópia Offline, Air-Gapped ou Imutável: O "Air-Gap" significa que a mídia de backup não tem conexão física ou de rede com o ambiente de produção (ex: uma fita magnética ejetada). A "Imutabilidade" (WORM - Write Once, Read Many) é uma trava a nível de software ou hardware que impede que os dados sejam alterados, criptografados ou deletados por um período específico, mesmo que o invasor tenha credenciais de administrador root.
• 0 Erros (Zero): Testes automatizados de recuperação garantindo que os backups são válidos, não contêm malware dormente e restauram com zero erros.

Como implementar a proteção na prática

Construir um cofre de dados resiliente exige uma arquitetura Zero Trust (Confiança Zero). Não basta comprar um software caro; é necessário blindar um servidor de backup com práticas rigorosas de segurança.

O NIST (National Institute of Standards and Technology) recomenda fortemente o uso de isolamento lógico. Isso inclui:

• Múltiplos domínios de autenticação: As credenciais usadas para gerenciar o backup não devem ser as mesmas do Active Directory principal.
• Armazenamento em Nuvem com Object Lock: Utilize provedores de nuvem que suportem API S3 com Object Lock. Isso garante que os blocos de dados fiquem imutáveis por 30, 60 ou 90 dias, barrando qualquer comando de deleção vindo de um ransomware.
• Segmentação de Rede (VLANs): O tráfego de backup deve fluir por uma rede isolada, com regras de firewall restritas apenas às portas absolutamente necessárias.

A importância da Resposta a Incidentes

Ter o backup é apenas metade da batalha. A velocidade e a integridade da recuperação definem o impacto nos negócios. Se a sua empresa sofrer um ataque hoje, você sabe exatamente quanto tempo levaria para baixar 10 Terabytes de dados da nuvem?

É por isso que as simulações são vitais. Ao elaborar sua estratégia de resposta a incidentes, inclua testes de "Bare Metal Recovery" (restauração em hardware do zero) e verifique se o ambiente restaurado não traz de volta as portas traseiras (backdoors) deixadas pelo invasor antes da criptografia.

Perguntas Frequentes

O que é um backup Air-Gapped?

É uma cópia de segurança que está completamente desconectada da rede e da internet. Por não possuir um caminho de comunicação eletrônica, é fisicamente impossível que um hacker ou ransomware consiga acessá-la remotamente para criptografar os dados.

Qual a diferença entre backup imutável e backup tradicional?

Um backup tradicional permite que os arquivos sejam sobrescritos, modificados ou deletados para economizar espaço (retenção). O backup imutável utiliza travas (como o S3 Object Lock) que bloqueiam qualquer alteração ou exclusão dos dados durante um período de tempo pré-determinado, protegendo-os até mesmo de administradores mal-intencionados.

Apenas sincronizar arquivos no Google Drive ou OneDrive serve como backup 3-2-1?

Não. Ferramentas de sincronização replicam as alterações em tempo real. Se um ransomware criptografar os arquivos no seu computador local, a ferramenta sincronizará os arquivos criptografados para a nuvem, destruindo a cópia de segurança. O backup real requer versionamento histórico isolado e retenção controlada.