Útočníci už dávno neútočia „len“ na produkčné servery. Systematicky a cielene likvidujú zálohy, kompromitujú účty, ktoré ich spravujú, a ničia infraštruktúru, ktorá obnovu umožňuje.
Veta „máme predsa zálohy“ dnes už nič negarantuje. Kľúčové je, či sú vaše zálohy navrhnuté tak, aby prežili úplnú kompromitáciu prostredia, admin účtov a sieťového manažmentu.
Prečo zálohy zlyhávajú?
Aby sme oddelili marketing od reality, musíme pochopiť, ako uvažuje útočník. Používajú osvedčené metódy na vyradenie vašej poslednej línie obrany:
- Kompromitácia identity: Ak má doménový admin prístup ku konzole zálohovania, útočník (ktorý získal jeho práva) jednoducho klikne na „Delete all“.
- Manipulácia s retenciou: Útočník nezmaže dáta hneď. Skráti dobu uchovávania (retenciu) na 2 dni, počká 3 dni a až potom spustí šifrovanie. Vaše staré zálohy automaticky expirujú a nové sú zašifrované.
- Otrávenie záloh (Time-bomb): Dlhodobá prítomnosť v sieti (dwell time) zabezpečí, že aj najnovšie zálohy už obsahujú „zadné vrátka“ alebo spiace malware agenty.
- Zničenie katalógu: Často sa nemažú len dáta, ale zničí sa databáza (katalóg) zálohovacieho softvéru. Bez neho je obnova stoviek TB dát tak príjemné, ako skladanie puzzle potme.
Tri vrstvy odolného ekosystému
Z pohľadu architektúry musíme chrániť tri odlišné roviny:
- Dáta (Assets): Od virtuálnych strojov, databáz a súborov až po konfigurácie aktívnych prvkov, šifrovacie kľúče a SaaS dáta (M365).
- Zálohovací reťazec (Control Plane): Backup server, proxy servery, repozitár. Toto je cieľ útoku s rovnakou prioritou ako produkcia.
- Schopnosť obnovy (Recovery Plane): RTO a RPO nemôžu byť iba čísla v JIRA, alebo v Exceli. Sú to definované technologické limity, ktoré musia byť otestované a potvrdené.
Ako zálohovať naozaj odolne
Ak chcete architektúru, ktorá odolá sofistikovanému útoku, musíte implementovať tieto princípy:
Skutočná nemennosť (Immutability)
Immutability nie je funkcia, ktorú stačí povoliť v zálohovacom softvéri. Je to stav, kedy nikto, dokonca ani root/admin nedokáže zálohu zmazať pred uplynutím jej časového zámku – trvanlivosti.
- Test: Položte si otázku: „Ak mám fyzický prístup k serveru a root heslo, dokážem zálohu zmazať?“ Ak áno, nie je to true immutability.
Izolácia od domény (Zero Trust Identity)
Najväčším zabijakom záloh je ich integrácia do Active Directory (AD).
- Prečo? Získanie prístupu Domain Admin v produkcii nesmie útočníkovi automaticky dať prístup ku konzole záloh.
Princíp štyroch očí (Multiperson Approval)
Zmazať repozitár alebo zmeniť globálnu retenciu by nemal mať možnosť jeden človek, bez ohľadu na jeho oprávnenia.
- Riešenie: Aktivujte v zálohovacom softvéri funkciu „Four-Eyes Authorization“. Každá deštruktívna akcia vyžaduje schválenie druhým adminom.
Segmentácia a zníženie „Blast Radius“
Zálohovacia zóna musí byť digitálnym trezorom.
- Použite striktné firewall pravidlá.
- Komunikácia by mala byť iniciovaná len smerom od backup servera k agentom, nikdy nie naopak.
- Manažment rozhrania (iLO, konzola) nesmú byť dostupné z bežnej VLAN.
Pravidlo 3-2-1-1-0
Staré pravidlo 3-2-1 je už dávno nedostatočné. V dnešnej dobe je to:
- 3 kópie dát,
- 2 rôzne médiá,
- 1 kópia off-site (mimo lokality),
- 1 kópia je Offline (Air-gapped) alebo Immutable,
- 0 chýb pri automatizovanej kontrole obnoviteľnosti (SureBackup/Verify).
Detekcia anomálií
Moderné backup systémy využívajú AI/ML na sledovanie zmien.
- Signály: Náhly nárast entropie (šifrovanie dát), zmena kompresného pomeru alebo masové mazanie súborov. Všetko čo ide mimo štandard.
- Reakcia: Ak systém deteguje podozrivú aktivitu, mal by automaticky označiť bod obnovy ako podozrivý alebo zastaviť expiráciu starších záloh.
Clean Room znamená obnova do čistého prostredia
Obnoviť infikovaný server späť do produkcie je recept na katastrofu (re-infekcia).
- Proces: Kritické systémy sa musia najprv obnoviť do izolovanej siete (Sandbox / Clean Room), kde prebehne antivírový sken a forenzná analýza. Až po vyčistení sa dáta presúvajú do produkcie.
Runbook – papier je často záchrana
Keď sú systémy dole, nefunguje SharePoint, Wiki ani e-mail, kde máte postupy.
- Tu oceníte fyzicky vytlačený alebo offline dostupný plán obnovy. Aktualizovaný.
Akčný plán, alebo 7 dní k bezpečnosti
Ak neviete kde začať, tu je plán okamžitej pomoci:
| Časový rámec | Akcia |
| Deň 1-2 | Audit Identity: Odpojte backup server od domény. Zmeňte heslá lokálnych adminov na unikátne a dlhé (20+ znakov). |
| Deň 3-4 | Izolácia siete: Nastavte firewall tak, aby k backup infraštruktúre mali prístup len dedikované „Jump“ hosty, nie bežné PC adminov. |
| Deň 5 | Aktivácia Immutability: Prekonfigurujte primárne alebo sekundárne úložisko na režim Immutable napr. Linux Hardened Repo alebo S3 Object Lock. |
| Deň 6 | MFA všade: Vynúťte Multi-Factor Authentication pre každý vstup do zálohovacej konzoly. |
| Deň 7 | Test „Clean Room“: Skúste obnoviť jeden kritický server (napr. doménový radič alebo ERP DB) do úplne izolovanej siete a spustite ho. |
