Nuovo
Richiedi una demo

La regola 3-2-1 per una protezione dei dati ininterrotta

Data backup
Przemyslaw Szanowski fotoPS
Przemyslaw Szanowski

Content Writer

Geoff Burke fotoGB
Geoff Burke

IT Infrastructure & Data Protection Expert

La Regola di Backup 3-2-1 è una best practice fondamentale da decenni, eppure un’organizzazione su tre non la segue ancora completamente. [1] Questo è il primo problema. Ma il secondo è più grande: anche le organizzazioni che rispettano questa regola stanno comunque adottando una strategia progettata per un modello di minaccia ormai superato.  

Il ransomware ha modificato radicalmente quel modello di minaccia. La regola 3-2-1 è stata pensata per un mondo in cui i rischi predominanti erano il guasto hardware o l’errore umano. Oggi, invece, gli attaccanti prendono di mira attivamente l’infrastruttura di backup oltre ai sistemi di produzione, per eliminare le opzioni di ripristino prima che venga rilasciato il payload di cifratura. 

Una regola progettata per sopravvivere al crash di un disco non affronta la minaccia odierna di un attaccante che ha trascorso settimane a mappare e colpire i tuoi sistemi di ripristino prima di sferrare l’attacco.  

Questa guida spiega cosa richiede la regola 3-2-1, perché non è sufficiente negli ambienti moderni e come il più recente modello 3-2-1-1-0 colma queste lacune. Inoltre, tratta gli errori di implementazione che lasciano le organizzazioni esposte. 

Punti chiave

  1. La Regola di Backup 3-2-1 è la baseline riconosciuta per la protezione dei dati, ma il 31% delle organizzazioni non la segue ancora in modo completo. [1] 
  2. Gli attacchi ransomware prendono di mira in modo specifico i dati di backup per eliminare le opzioni di ripristino. Un ambiente 3-2-1 conforme ma privo di immutabilità lascia aperta questa possibilità. 
  3. Il modello 3-2-1-1-0 aggiunge due requisiti: una copia immutabile e zero errori nel ripristino, garantendo un percorso di recovery affidabile dopo un attacco ransomware o un altro incidente. 

Che cos’è la regola 3-2-1? 

La Regola di Backup 3-2-1 è la baseline standard di settore per qualsiasi strategia di backup dei dati. Si basa su un principio fondamentale: eliminare il cosiddetto “destino condiviso”. 

Il destino condiviso è il rischio che un singolo evento elimini sia i dati in produzione sia la capacità di ripristinarli. Quando i dati di produzione e i backup condividono lo stesso storage fisico o le stesse credenziali amministrative, un’organizzazione è a un solo incidente dalla perdita totale dei dati.  

La regola lo previene tramite una separazione rigorosa su tre pilastri: 

Tre copie

Mantieni almeno tre istanze dei tuoi dati: la copia originale in produzione e due backup separati. Questo approccio a livelli protegge dal bit rot e da altre forme di corruzione silente dei dati. Se l’istanza di backup primaria risulta illeggibile durante un ripristino, l’altra copia offre un’alternativa da cui ripristinare. 

Due tipi di supporto di storage

Diversifica l’hardware di storage. Il guasto di un singolo controller o un bug del firmware possono mettere fuori servizio un’intera unità e ogni copia archiviata su di essa. Un’architettura più resiliente utilizza architetture distinte, ad esempio S3 storage a oggetti on-prem ad alte prestazioni come repository primario e storage cloud per il livello secondario. 

Un backup off-site

Almeno un punto di ripristino deve esistere come Backup Offsite, fisicamente e logicamente separato dal data center principale. L’obiettivo è sopravvivere a uno scenario di indisponibilità del sito, che si tratti di un disastro fisico come un incendio o di un attacco di cifratura su scala di rete. 

Perché la regola di backup 3-2-1 non è più sufficiente

La regola 3-2-1 è stata costruita per un mondo in cui il guasto hardware era la minaccia principale. Se si guastava la scheda madre di un server o un disco si corrompeva in modo silente, avere tre copie separate significava che almeno una sarebbe sopravvissuta.  

Il ransomware ha cambiato i termini del problema. Gli attacchi moderni non distruggono i dati in modo casuale. Gli attaccanti spesso mappano l’ambiente per settimane, identificano ogni posizione dei backup e avviano la cifratura, disabilitando la possibilità di ripristinare dai backup.  

Secondo l’indagine 2026 World Backup Day di Object First [1], il 79% dei responsabili IT indica l’accesso degli attaccanti ai backup come principale preoccupazione. Questo dato riflette quanto completamente sia cambiato il modello di minaccia. 

La regola 3-2-1 non prevede alcun requisito di immutabilità né di sicurezza Zero Trust. È questa la lacuna attraverso cui passano gli attaccanti. Veeam lo afferma chiaramente: "Le infrastrutture moderne richiedono ormai approcci più resilienti. Ecco perché la regola resta rilevante, ma da sola non è più sufficiente.” [2] 

Il malware basato su IA sta peggiorando drasticamente il problema. Può individuare e neutralizzare i percorsi di ripristino più rapidamente di quanto i team di sicurezza manuali riescano a reagire. Secondo la stessa indagine di Object First [1], l’89% dei responsabili IT ha dichiarato che le minacce basate su IA hanno aumentato la loro preoccupazione per la sicurezza dei dati.  

 

L’evoluzione moderna: modello di backup 3-2-1-1-0

La regola 3-2-1-1-0 aggiunge due requisiti alla formula originale: una copia immutabile e backup verificati con zero errori. Insieme, spostano la domanda da "il job di backup è terminato?" a "possiamo davvero ripristinare quando serve?" 

Veeam definisce la regola 3-2-1-1-0 come lo standard aggiornato per l’architettura di backup. [2] Le sue due aggiunte affrontano direttamente le vulnerabilità che la regola originale non copre. 

Una copia immutabile

L’“1” aggiuntivo richiede che almeno una copia sia immutabile, cioè non possa essere modificata o eliminata. S3 Object Lock è una delle migliori tecnologie per garantirlo: imponendo l’immutabilità a livello di storage, blocca qualsiasi operazione di scrittura o cancellazione fino alla scadenza del periodo di conservazione. 

Zero errori di ripristino

Lo “0” elimina l’approccio al ripristino basato sulla “speranza”, consentendoti di avviare un backup in una sandbox isolata per verificarne il funzionamento, prima che una crisi imponga la verifica. Senza questa validazione, un server può apparire integro mentre il database sottostante è corrotto o parzialmente cifrato da malware dormiente.  

Perché la regola di backup 3-2-1-1-0 è fondamentale per la resilienza al ransomware

La regola 3-2-1-1-0 è la base tecnica di qualsiasi strategia di backup a prova di ransomware. E il motivo va oltre la conformità. 

Una volta ottenuto l’accesso alla rete, gli attaccanti spesso trascorrono settimane muovendosi lateralmente, identificando ogni punto di ripristino prima di attivare il payload. Il loro obiettivo è fare in modo che, quando un’organizzazione si rende conto di essere sotto attacco, la capacità di ripristino sia già stata compromessa. 

Solo il 58% delle organizzazioni utilizza attualmente storage backup immutabile su tutti i propri dati. [1] Ciò significa che quasi la metà degli ambienti ha almeno un percorso di ripristino che un attaccante può distruggere. 

Se implementato correttamente, il modello 3-2-1-1-0 elimina questa esposizione: 

  1. L’immutabilità nativa S3 disaccoppia l’accesso amministrativo dalla distruzione dei dati. Anche con una password di amministratore rubata, un attaccante non può modificare o eliminare i dati immutabili archiviati in modalità compliance. Il blocco a livello di storage resta attivo fino alla scadenza del periodo di conservazione, rendendo inutili le credenziali sottratte contro il livello di ripristino. 
  2. I ripristini locali rapidi neutralizzano la pressione del downtime su cui fanno leva gli attaccanti. Il ransomware è una strategia di estorsione basata sul tempo. Una copia locale immutabile significa che le organizzazioni non devono attendere giorni per scaricare terabyte dal cloud mentre le operazioni restano ferme e le richieste di riscatto aumentano. 
  3. La verifica automatizzata intercetta il malware dormiente prima del ripristino. Gli attaccanti spesso pre-posizionano malware all’interno dei file di backup, così le organizzazioni finiscono per ripristinare un ambiente già infetto. La verifica dei backup in una sandbox controlla la presenza di segnali di cifratura silente e payload nascosti prima di tentare un ripristino. 
  4. La segmentazione rigorosa blocca il movimento laterale. La maggior parte degli attacchi si propaga nella rete finché non raggiunge ogni dispositivo connesso. L’isolamento fisico e logico dello storage di backup dai sistemi di produzione garantisce che una violazione in produzione non raggiunga automaticamente il livello di ripristino. 
  5. La diversità di piattaforma elimina il rischio di single point of failure. Affidarsi a un unico stack software o a un solo tipo di storage concentra la superficie d’attacco. Combinare archivio immutabile on-premises con un’architettura di vault cloud differente significa che nessun singolo exploit può compromettere l’intera strategia. [3] 
 

Errori da evitare nell’implementazione della strategia di backup 3-2-1-1-0

Anche un framework completo fallisce quando l’implementazione lascia aperta una backdoor. Molte organizzazioni spuntano le caselle senza considerare come un attaccante si muove all’interno di una rete.  

Costruire una strategia resiliente significa andare oltre i requisiti di alto livello e affrontare i punti ciechi tecnici specifici che gli operatori ransomware sfruttano. 

Accesso alle identità unificato tra produzione e backup

Quando i sistemi di backup si basano sullo stesso identity provider della produzione, la compromissione del dominio può dare agli attaccanti il controllo amministrativo sui dati e sui sistemi di backup, spesso rendendo inutilizzabili per il ripristino le copie off-site e immutabili senza eliminare direttamente i dati protetti. 

Impostare finestre di immutabilità troppo brevi rispetto ai tempi di permanenza dell’attaccante

Un blocco di immutabilità di sette giorni offre un falso senso di sicurezza quando i tempi di permanenza dell’attaccante lo superano regolarmente. Il ransomware moderno è paziente. Gli attaccanti spesso attendono che scada il lock sui backup più vecchi prima di attivare la cifratura. Il periodo di immutabilità dovrebbe superare il dwell time tipico, che la maggior parte dei ricercatori di sicurezza colloca tra 14 e 30 giorni. Questo è il periodo minimo di conservazione di cui i backup immutabili hanno bisogno per restare avanti rispetto ad attaccanti pazienti e persistenti. 

Ignorare i colli di bottiglia di egress durante ripristini su larga scala

Gli amministratori spesso si concentrano sulla velocità di ingest ma ignorano la velocità di ripristino. Se l’unica copia off-site è di 100 TB in un bucket cloud, il ripristino è limitato dalla banda Internet e dal throttling dell’egress del provider cloud. Senza un livello locale immutabile ad alte prestazioni, una strategia di backup tecnicamente conforme può comunque lasciare un’organizzazione offline per giorni durante un ripristino completo del sito. 

Verifica superficiale che ignora l’integrità applicativa

Lo “0” nel 3-2-1-1-0 richiede un ripristino verificato, ma controllare se una VM si avvia non è sufficiente. Un server può partire mentre il database sottostante è corrotto o parzialmente cifrato da malware dormiente. La verifica reale significa testare i servizi applicativi effettivi e i relativi dati nella sandbox per confermare che il ripristino produca un carico di lavoro utilizzabile e coerente - non soltanto un sistema operativo in esecuzione. 

Object First + Veeam = regola di backup 3-2-1-1-0

Per implementare con successo la regola di backup 3‑2‑1‑1‑0, le organizzazioni hanno bisogno di soluzioni che coprano più ambienti, impongano l’immutabilità e consentano test di ripristino frequenti e significativi. Ottenere questo nella pratica richiede una stretta integrazione tra orchestrazione del backup, verifica e storage — non prodotti puntuali isolati.

Veeam Backup & Replication fornisce la base operativa per il 3‑2‑1‑1‑0 orchestrando i backup tra ambienti on‑premises e cloud, supportando l’immutabilità e abilitando ripristini verificati tramite funzionalità come SureBackup. Questo garantisce che i backup non siano solo protetti, ma anche ripristinabili e affidabili.

Object First integra Veeam offrendo storage di backup on‑premises progettato ad hoc, specificamente per i carichi di lavoro Veeam. Con l’Immutabilità Assoluta, Object First garantisce che i dati di backup non possano essere modificati o eliminati — nemmeno dagli amministratori con i privilegi più elevati o da attaccanti con accesso allo storage di backup. Per la copia off‑site, Veeam Data Cloud Vault offre storage off‑site sicuro e gestito che semplifica la scalabilità e il controllo dei costi.

Insieme, queste soluzioni costituiscono un’architettura 3-2-1-1-0 resiliente e ad alte prestazioni, che abilita ripristini rapidi, integrità verificata e una forte resistenza contro i moderni attacchi informatici.

Scarica il brief tecnico e scopri perché Veeam e Object First sono i tuoi partner ideali per Resilienza dei dati.

 

Referenses: 

[1] Object First. "Object First Survey: 89 Percent of IT Leaders Fear AI-Powered Cyberattacks Will Cost Them Their Data." 2026. https://objectfirst.com/newsroom/press-releases/object-first-survey-89-percent-of-it-leaders-fear-ai-powered-cyberattacks-will-cost-them-their-data/ 

[2] Veeam. "3-2-1 Backup Rule Explained." 2024. https://www.veeam.com/blog/321-backup-rule.html 

[3] Object First. "Object First + Veeam Data Cloud Vault = 3-2-1 Backup." Solution brief. 2025. https://objectfirst.com/uploads/resources/solution-briefs/Veeam_Data_Coud_Vault_Ootbi_3-2-1_Backup.pdf 

Guide correlate

Visualizza tutto