Official Blog
Když přežijí jen neměnné zálohy…
Matěj Čuchna
15. 7. 2026

Když přežijí jen neměnné zálohy…

Moderní ransomware nešifruje pouze vaše aktivní systémy – v dnešní době se předtím, než zašifruje zbytek vaší infrastruktury, zaměří na zálohy. Společnost Sophos ve své nedávné studii uvádí, že 94 % ransomwarových útoků nejprve cílí právě na zálohy, což značně ztěžuje obnovu dat a zvyšuje pravděpodobnost, že oběť útoku zaplatí výkupné. Řešení pro obnovu po havárii od Synology pracuje s neměnnými zálohami, ke kterým útočníci nemají přístup a nemohou je upravit ani smazat. Prvním krokem ke spolehlivé obnově dat je zjištění, jak na tom aktuálně jste.

Není příliš malých cílů

Červenec je měsícem povědomí o ransomwaru. Nejnebezpečnějším předpokladem, který může firma mít, je, že se ransomware týká jen větších společností. Data říkají opak. Zacílení útoků se zásadním způsobem přesunulo směrem k malým a středním podnikům, neboť disponují slabší obranou a jsou ochotnější platit. Napadení několika menších firem je pro útočníky podstatně efektivnější než pronásledování jednoho velkého podniku.

Čísla jsou neúprosná. U malých a středních organizací dnes ransomware představuje drtivou většinu bezpečnostních incidentů s podstatně vyšším podílem než u velkých podniků. Malá firma s daty zákazníků, finančními záznamy a produkčními systémy umístěnými na několika málo serverech je to přesně to, co moderní ransomwarový útočník hledá.

Kontext hrozby

Ransomware je rychlý a někteří útočníci zvládnou zašifrovat vaše prostředí během několika hodin, což nenechává téměř žádný prostor pro obranu s lidskou účastí. Právě kvůli této rychlosti je dnes otázka obnovy dat zásadnější než ochrana perimetru – když selže prevence, vše závisí na obnově. Vaše schopnost či neschopnost obnovit data z čisté a nedotknutelné zálohy bude rozhodovat o tom, zda pro vás bude útok drobnou nepříjemností, nebo naprostou katastrofou.

Jak se ransomware dostane do malé firmy

Ransomware spreading through employee devices.

„Microsoft nás zálohuje“

Než se dostaneme k architektuře, je potřeba zmínit jedno převládající přesvědčení, které vystavuje velkou část firem riziku. Je to předpoklad, že Microsoft 365 zálohuje vaše data. Není to pravda. V rámci modelu sdílené odpovědnosti Microsoft zabezpečuje infrastrukturu, ale za data a jejich ochranu jste zodpovědní jen a pouze vy.

Synchronizace ≠ záloha

Stejná past platí pro jakoukoli službu založenou na synchronizaci souborů – OneDrive, SharePoint, Google Drive nebo Dropbox jsou synchronizační nástroje, nikoliv zálohovací služby. Pokud ransomware zašifruje soubory ve vaší synchronizované složce, jejich zašifrované verze se během několika minut propíší do cloudu a nahradí tamní kopie, na které se spoléháte. Nativní retenční doby předchozích verzí bývají krátké a útočník se správnými přístupy je navíc dokáže odstranit.

Zásadní rozdíl

Synchronizace replikuje aktuální stav vašich souborů – včetně těch zašifrovaných – napříč všemi připojenými zařízeními a cloudem. Záloha udržuje verzované, nezávislé kopie, které synchronizace přepsat nemůže. Útoku odolá pouze druhá jmenovaná.

Řešení Active Backup pro Microsoft 365 tento problém odstraňuje tím, že udržuje nezávislé kopie vašich dat z Exchange, OneDrive, SharePoint nebo Teams mimo danou platformu. Neměnné snímky pak přidávají těmto zálohám další vrstvu ochrany navíc. Nejste si jisti, zda je vaše prostředí dostatečně chráněno? Náš rychlý test vám poskytne odpověď během několika minut.

Řešení neměnných záloh od Synology

Podstatou ochrany záloh před ransomwarem jsou dvě zásadní otázky: co vaše záloha pokrývá a zda na ni ransomware dosáhne. Většina firem selhává přinejmenším v jednom z těchto aspektů selhává, některé dokonce v obou. Architektura Synology přitom přináší odpověď na obě otázky v rámci jediné platformy, navíc bez licencování na uživatele nebo zátěž.

On-premise

Active Backup for Business

Zálohuje fyzické a virtuální servery, PC a sdílené složky NAS.

Zjistit více →
SaaS

Active Backup pro Microsoft 365

Zálohuje Exchange, OneDrive, SharePoint a Teams.

Zjistit více →
Off-site

Hyper Backup

Odesílá kopii mimo lokalitu na sekunádrní NAS, externí médium nebo do cloudu..

Zjistit více →
Neměnnost

Snapshot Replication

Pořizuje neměnné snímky důležitých složek a LUN.

Learn more →
SaaS

Active Backup pro Google Workspace

Zálohuje My Drive, Team Drive, Gmail, Kontakty a Kalendář.

Zjistit více →
Cloud

C2 OneStorage

Chrání zálohy v cloudu pomocí neměnného uzamčení objektů.

Zjistit více →

Nejsilnější argument, který může Synology proti ransomwaru nabídnout, vychází ze spolupráce dvou služeb. Active Backup for Business odpovídá na otázku, zda záloha pokrývá vše – chrání PC, fyzické servery a virtuální počítače z jediné konzole a bez licenčních poplatků v rámci systému DSM. Tím uzavírá mezery, které ransomware s oblibou využívá – nechráněný notebook nebo zapomenutý virtuální počítač.

Snapshot Replication odpovídá na druhou, těžší otázku, zda záloha přežije útok – vytváří neměnnou zálohu prostřednictvím WORM snímků na svazcích Btrfs. Jakmile jim nastavíte dobu ochrany, snímky během ní jednoduše není možné odstranit či pozměnit, dokonce ani z administrátorského účtu disponujícího všemi pravomocemi.

Proč je neměnnost tak zásadní

Studie Sophos State of Ransomware 2024 uvádí, že se 94 % ransomwarových útoků pokusilo kompromitovat zálohy oběti a 57 % těchto pokusů bylo úspěšných. Náklady vzniklé po takového útoku přitom mohou být likvidační – organizace se zašifrovanými zálohami stojí obnova provozu zhruba osmkrát více než ty, jejíchž zálohy zůstaly nedotčené. Neměnné zálohy vám poskytnou bod obnovy, do kterého ransomwarový útok nemůže proniknout. Proto je neměnnost středobodem naší architektury.

Snapshot Replication zároveň kopíruje neměnné snímky do druhého systému Synology, čímž vzniká čistá, uzamčená kopie na samostatném hardwaru pro rychlou obnovu. Plánování je konfigurovatelné s přesností na minuty a obnova probíhá přes webové rozhraní DSM. Mějte prosím na paměti, že neměnné snímky vyžadují zařízení s podporou WORM, takže výběr modelu je při navrhování architektury důležitý.

Neměnná záloha, která pokrývá vše a přežije jakýkoli útok, vám dává nejlepší šanci na obnovu dat bez placení výkupného.

Zlaté pravidlo zálohování

Neměnné kopie pomáhají proti většině scénářů ransomwaru, ale kompletní architektura jde ještě dál tím, že dodržuje pravidlo 3-2-1-1-0: tři kopie vašich dat na dvou typech médií, jedna kopie uložená mimo lokalitu, jedna kopie zůstává neměnná nebo offline a nula chyb při testu obnovy dat. Off-site kopie vás ochrání před plošnými útoky na úrovni celé lokality a neměnná kopie je to, co přežije útok, který získá přístup do vaší sítě. Synology pro tyto účely nabízí dva doplňující se nástroje.

Hyper Backup vytváří verzované, deduplikované a šifrované zálohy s možností umístění na externí disky, vzdálená Synology NAS, rsync servery nebo do cloudu Synology. Udržuje plnou historii verzí, takže můžete svá data obnovit z jakéhokoli předchozího bodu, nikoliv pouze z toho nejnovějšího.

Neměnné cloudové zálohy se Synology C2

Synology C2 poskytuje umístění snímků mimo vaši platformu bez potřeby druhé fyzické lokality. C2 Storage poskytuje jednotné cloudové úložiště, které funguje jako cíl pro Hyper Backup a je zcela oddělené od vaší sítě a přihlašovacích údajů, čímž se stává nedostupným pro ransomware.

Neměnná kopie v tomto modelu může existovat ve dvou vrstvách. V rámci NAS zařízení se o ni postará Snapshot Replication, který dodá neměnnost vašim místním zálohám (na podporovaných modelech), čímž pokryje pracovní stanice, servery, virtuální počítače i SaaS data chránění pomocí Active Backup.

V cloudu pak tuto funkci obstará nástroj C2 Object Lock, jenž zaručí neměnnost kopie objektu mimo platformu po dobu, jakou si určíte. Uzamčenou kopii nemůže nikdo upravit ani smazat, a to ani s administrátorskými přihlašovacími údaji. Posledním krokem je pak nula v pravidle 3-2-1-1-0, což je test obnovy dat. Ten potvrdí, že je kopie neobsahuje žádné chyby a je čistá a plně obnovitelná.

Zálohování 3-2-1 s neměnností

  • 1. kopie: Záloha pomocí Snapshot Replication na primárním zálohovacím serveru.
  • 2. kopie: Záloha v podobně neměnného snímku na sekundárním Synology NAS.
  • 3. kopie: Neměnná záloha umístěná mimo vaše prostředí pomocí C2 OneStorage.
  • Obnova: K dispozici jsou neměnné WORM kopie uložené lokálně i v cloudu
  • Nula chyb: Simulujte obnovu ze zálohy, buď lokálně pomocí Virtual Machine Manager nebo vzdáleně pomocí C2 OneStorage.

Včasná detekce: Active Insight

Zatímco výše uvedené nástroje chrání vaše data díky zálohám a neměnnosti, řešení Active Insight přidává vrstvu pokrývající dřívější fázi životního cyklu ransomwaru: včasnou detekci. Je k dispozici jako předplatné podle hostitele.

Active Insight je cloudová monitorovací služba společnosti Synology, která sleduje aktivity okolo souborů – vzorce přístupů, míru úprav a způsoby nakládání se soubory napříč vašimi systémy Synology v reálném čase. Její jednotná konzole se dá škálovat napříč více lokalitami.

Jak funguje detekce během útoku

K čemu je to dobré? Ransomwarový útok se projevuje velmi anomálními vzorci aktivity souborů – jediný proces upravuje tisíce souborů za minutu, hromadně se mění přípony a časová razítka úprav přicházejí v těsném sledu. Active Insight tyto vzorce detekuje a upozorní administrátory, obvykle během několika minut od začátku útoku. To dává týmu čas zasáhnout dříve, než se dokončí vlna šifrování. Na podporovaných systémech může jít Active Insight ještě o krok dál – v okamžiku, kdy toto chování detekuje, automaticky pořídí neměnný snímek, čímž zachová čistou kopii dat.

Pro menší IT týmy nebo vedoucího provozu, který má standardně IT na starosti, toto upozornění znamená obrovský rozdíl. Je to rozdíl mezi zachycením probíhajícího incidentu a jeho objevením až druhý den ráno. Okamžité oznámení o hromadné úpravě souborů signalizuje, že je čas izolovat zasažený systém, než ztratíte další data.

Monitorování aktivity za provozu

Když Active Insight detekuje chování odpovídající ransomwaru, může pořídit zmíněný neměnný snímek jako pomyslnou záchrannou síť. Tato reakce vyžaduje Snapshot Replication a model zařízení s podporou WORM a umožňuje pořídit jeden snímek na sdílenou složku za den. Jinými slovy je to pojistka, nikoliv náhrada za rychlý lidský zásah. To, jak rychle váš tým na upozornění zareaguje a izoluje zasažené zařízení, určuje, kolik dat ochráníte. Nakonfigurujte si proto oznámení tak, aby upozornila správné lidi ve správný čas.

Zjistěte více

Zaplacení výkupného není plán obnovy

Když spadnou systémy a firma se zastaví, zaplacení výkupného se může zdát jako nejrychlejší cesta k obnově provozu. Data ale ukazují, že k tomu dochází jen zřídka – velká část obětí, které zaplatí výkupná, svá data nikdy zcela neobnoví a většina z nich navíc bývá do roka zasažena znovu. Zaplacení výkupného signalizuje jak schopnost, tak ochotu platit, což z vás dělá prioritní cíl pro další útoky.

Simulujte obnovu po ransomwaru z neměnné zálohy

Jedinou spolehlivou odpovědí na ransomware je proto být schopni obnovit data vlastními prostředky, a Synology vám k tomu poskytne vše potřebné. Data obnovíte z neměnného snímku nebo pomocí Hyper Backup za pomoci praktického průvodce v jejich rozhraní. Virtual Machine Manager vám pomůže otestovat zálohu na virtuálním stroji, abyste mohli ověřit její integritu před samotným obnovením.

Obnova z nedávného neměnného snímku může být u většiny objemů firemních dat dokončena rychle. Obnova z C2 závisí na objemu dat a rychlosti připojení, ale jakmile ji spustíte, systém celý proces automaticky dokončí. Ať už ale obnovujete z lokální nebo cloudové zálohy, díky Synology nebudete muset vyjednávat s útočníkem a spoléhat se na to, že dodrží slovo.

Ransomware recovery with immutable backups
Obnovte neměnné zálohy z cloudu přes C2 OneStorage nebo ze Synology NAS přes Snapshot Replication.

Jedna platforma pro neměnné zálohy, bez licencování na uživatele

Veškerá architektura popsaná v tomto článku běží na aktuální řadě firemních NAS Synology. Závěrem je třeba zmínit ještě ekonomickou stránka věci, která rovněž hraje zásadní roli. Konkurenti jako Veeam a Acronis si účtují poplatky za virtuální počítač, za uživatele nebo za zátěž. Synology zahrnuje svůj balíček Active Backup Suite do systému DSM bez dodatečných licenčních nákladů. Pro typickou firmu chránící desítky PC, několik virtuálních počítačů a e-mailový tenant se tento rozdíl nasčítá a již během několika let vykáže významný rozdíl v celkových nákladech ve prospěch Synology. Pro organizace, které chtějí mít veškeré popsané funkce předintegrované v jednom řešení, jsou pak k dispozici zařízení ActiveProtect.

Udělejte si audit svého plánu obnovy

Vyzkoušejte naši výzvu Ransomware Resilience Challenge a zjistěte své skóre připravenosti z hlediska pokrytí, neměnnosti, ochrany mimo lokalitu a bezpečnostní kultury. Máte dotazy ohledně vašeho nastavení? Rádi vám pomůžeme.

Často kladené dotazy

Může ransomware smazat nebo zašifrovat mé zálohy?

Ano, ransomware dosáhne na většinu záloh, což je zásadní problém. Drtivá většina ransomwarových útoků se nyní zaměřuje na úložiště záloh a více než u poloviny obětí dojde k jejich zašifrování. Záloha, kterou může útočník může smazat, přitom není žádná obrana. Výjimkou je neměnná záloha – Snapshot Replication od Synology vytváří WORM kopie, které nikdo nemůže upravit ani smazat, a to ani s ukradenými administrátorskými hesly. Tato ochrana platí po dobu, kterou si sami nastavíte.

Zahrnuje Microsoft 365 neměnné zálohy?

Ne. Podle modelu sdílené odpovědnosti společnosti Microsoft vlastníte data hostovaná v Microsoft 365 vy a vy jste také zodpovědní za jejich zálohování. Nativní doba uchování je krátká, a pokud ransomware zašifruje OneDrive nebo SharePoint prostřednictvím synchronizace, nic je nedokáže obnovit. Active Backup pro Microsoft 365 udržuje nezávislou kopii vašich dat z Exchange, OneDrive, SharePointu a Teams mimo platformu, díky čemuž je můžete je obnovit bez ohledu na to, co se stane v tenantu.

Jak ochráním své zálohy před ransomwarem?

Ochrana záloh před ransomwarem stojí na dvou principech: pokrytí a neměnnosti. Záloha musí pokrývat každou zátěž a proces – PC, servery, virtuální počítače, SaaS – bez mezer, které by ransomware mohl zneužít. Zároveň musí přežít útok. Active Backup for Business poskytuje pokrytí, a to bez licenčních poplatků v rámci DSM. Snapshot Replication mění tyto zálohy na neměnné WORM kopie, které ransomware nemůže fyzicky smazat ani zašifrovat. Neměnná záloha, která pokrývá vše a přežije jakýkoli útok, vám dává nejlepší šanci na obnovu bez placení výkupného.

Co je Synology C2 a jak Object Lock chrání zálohy?

Synology C2 je cloud provozovaný Synology. C2 OneStorage je jednotné cloudové úložiště, který slouží jako cíl pro Hyper Backup, jenže je oddělený od vaší sítě a přihlašovacích údajů, takže na něj místní ransomware nedosáhne. Skutečnou cloudovou neměnnost zajišťuje funkce Object Lock, díky které nikdo nemůže upravit ani smazat objekty zálohy během doby, kterou si nastavíte. To zahrnuje i někoho s administrátorskými přihlašovacími údaji. C2 dokáže také zálohovat koncová zařízení s Windows a SaaS data přímo do cloudu.

Kolik stojí licencování Synology v porovnání s Veeam nebo Acronis?

Veeam a Acronis si obvykle účtují poplatky za virtuální počítač, za uživatele nebo za zátěž, takže náklady rostou s velikostí vašeho prostředí. Synology zahrnuje svůj balíček Active Backup Suite – pro PC, servery, virtuální počítače a Microsoft 365 – do systému DSM bez dalších poplatků. Pro typickou firmu chránící desítky koncových zařízení, několik virtuálních počítačů a e-mailový tenant se to nasčítá. Během tří let to znamená významnou výhodu v celkových nákladech na vlastnictví. Přesná čísla závisí na vašem prostředí – výzva Ransomware Resilience Challenge vám je pomůže zmapovat. S případnými dalšími dotazy se na nás kdykoliv obraťte zde.