Backup 3-2-1 na prática: o que separa uma cópia de uma proteção real contra ransomware

A regra 3-2-1 é simples de enunciar e difícil de fazer direito. O que o ransomware moderno mudou e por que ter backup não é o mesmo que estar protegido.

3 min de leitura

Quase toda empresa tem backup, e quase nenhuma descobre que o backup não servia antes de precisar dele. O ransomware moderno vive exatamente nessa distância entre ter uma cópia e ter uma proteção, e aprendeu a atacar o backup primeiro.

Este guia explica a regra 3-2-1 de forma clara e mostra, com honestidade, por que fazer isso bem é um projeto de engenharia, e não uma configuração de fim de semana.

Resumo rápido

  • A regra 3-2-1 pede três cópias dos dados, em duas mídias diferentes, com uma cópia fora do local.
  • O ransomware moderno procura e criptografa o backup, então a regra evoluiu para incluir uma cópia imutável e testes de recuperação de rotina.
  • Onde os projetos falham não é na ferramenta, é no isolamento, no teste periódico e na operação contínua.
  • Se você hesitou em qualquer pergunta do teste no fim deste texto, existe uma lacuna que só aparece na hora errada.

O que é a regra 3-2-1

É a base da proteção de dados e cabe numa linha. Você mantém três cópias dos seus dados, sendo a de produção mais duas de backup, guardadas em duas mídias ou tecnologias diferentes, com pelo menos uma cópia fora do local.

Simples de dizer. O problema é que o ransomware moderno tornou essa regra necessária, porém insuficiente.

O que o ransomware mudou

Os ataques de hoje não criptografam na hora. Eles entram, ficam semanas em silêncio, mapeiam a rede e procuram justamente o seu backup. Se o backup está acessível pela mesma rede e com as mesmas credenciais, ele é criptografado junto, e no dia do ataque você fica com três cópias inúteis.

Por isso a regra evoluiu para incluir mais duas garantias. A primeira é uma cópia imutável ou offline, que não pode ser alterada nem apagada, nem por um administrador comprometido, e funciona como a rede de segurança que o ransomware não alcança. A segunda é a verificação, porque backup que ninguém testou não conta, e a restauração precisa ser rotina e não uma descoberta na emergência.

Onde os projetos falham na prática

Cada ponto abaixo é fácil de entender e difícil de manter funcionando, e é aqui que a maioria empaca.

A imutabilidade de verdade não é marcar uma caixa, e sim arquitetar o isolamento para que credenciais roubadas não consigam desligar a proteção. Os testes de restauração também enganam, porque restaurar um arquivo é bem diferente de restaurar a operação inteira dentro de um prazo, e sem simular você não conhece o seu tempo real de recuperação. A janela e a retenção pedem decisão consciente sobre quanto de dado você aceita perder e por quanto tempo guarda, já que errar isso custa caro nos dois sentidos. E a cobertura precisa de processo, porque o servidor novo, o dado que foi para a nuvem e o sistema que ninguém mapeou continuam desprotegidos até alguém incluir.

Um time consciente monta boa parte disso sozinho. O que costuma faltar não é a ferramenta, já que Veeam e similares resolvem bem, mas o desenho do isolamento, o teste periódico e a operação contínua que garantem que, no pior dia, a última linha de defesa esteja de pé.

O teste de um minuto

Responda honestamente às três perguntas a seguir. Se um ransomware criptografasse tudo hoje, incluindo o servidor de backup, você teria uma cópia intocável? Quando foi a última vez que alguém restaurou de verdade e cronometrou? Você sabe, em horas, o seu tempo de recuperação da operação inteira?

Se hesitou em qualquer uma, existe uma lacuna, e lacuna em backup só aparece na hora errada.

O próximo passo

Num diagnóstico gratuito revisamos a sua estratégia atual de backup e continuidade, apontamos por onde o ransomware entraria e mostramos o que falta para uma proteção real, sem compromisso.

Peça o seu diagnóstico gratuito e descubra o seu tempo real de recuperação antes que alguém o descubra por você.