Nowoczesne ataki ransomware działają według określonego schematu: po uzyskaniu dostępu do sieci przestępcy spędzają tygodnie na rozpoznaniu infrastruktury, zlokalizowaniu backupów i dopiero wtedy aktywują szyfrowanie – jednocześnie niszcząc wszystkie dostępne kopie zapasowe.

Dlaczego klasyczny backup nie wystarcza?

Kopie na sieciowym zasobie SMB (np. dysk NAS) są osiągalne dla atakującego, który przejął konto administratora. Kopia w tym samym segmencie sieci co produkcja zostanie zaszyfrowana razem z oryginałem.

Architektura odporna na ransomware

• Immutable repository – repozytorium z Object Lock lub WORM, które blokuje modyfikację danych przez określony czas, niezależnie od uprawnień systemowych.
• Air-gap – logiczne lub fizyczne odizolowanie repozytorium backupu od sieci produkcyjnej (Veeam Hardened Repository na dedykowanym hoście Linux).
• Reguła 3-2-1-1-0 – rozszerzenie klasycznej 3-2-1: 1 kopia offline/air-gapped, 0 błędów weryfikacji integralności.

Chmura jako ostatnia linia obrony

Repozytorium w chmurze (Azure Blob z Object Lock, AWS S3 z Glacier Vault Lock) stanowi ostatnią linię obrony. Nawet po całkowitym zaszyfrowaniu infrastruktury lokalnej, dane w chmurowym repozytorium immutable pozostają nienaruszone i gotowe do odtworzenia.