Ransomware is een van de grootste dreigingen voor organisaties die back-ups gebruiken als vangnet. Aanvallers richten zich tegenwoordig niet alleen op productiedata, maar ook actief op back-ups. Ze proberen back-ups te verwijderen, te versleutelen of onbruikbaar te maken voordat ze losgeld eisen.
De klassieke 3-2-1 Backup Rule biedt een goede basis, maar mist een expliciete bescherming tegen dit type aanvallen. De 3-2-1-1 Backup Rule lost dat op door één kopie te vereisen die niet zomaar aangepast of verwijderd kan worden.
Maar wat betekent 3-2-1-1 precies, en wat is het verschil met 3-2-1-1-0?
Wat is de 3-2-1-1 Backup Rule?
De 3-2-1-1 Backup Rule is een uitbreiding op de klassieke 3-2-1-regel, aangevuld met de eis van één kopie die offline, air-gapped of immutable is. Samen zorgen de vier onderdelen voor bescherming tegen zowel hardware-storingen als ransomware.
3 kopieën van je data
Minimaal drie kopieën: de originele productiedata, een eerste back-up en een tweede back-up op een andere locatie of platform.
2 verschillende opslagmedia
Minimaal twee verschillende media of opslagvormen voor spreiding en bescherming tegen platform-specifieke storingen.
1 kopie offsite
Eén back-up op een andere fysieke of logische locatie dan de primaire omgeving voor disaster recovery.
1 kopie offline / immutable
Eén kopie die niet zomaar aangepast of verwijderd kan worden — offline, air-gapped of immutable. Beschermt specifiek tegen ransomware.
3 kopieën van je data
Net als bij de klassieke 3-2-1-regel zorg je voor minimaal drie kopieën van je data: de originele productiegegevens, een eerste back-up en een tweede back-up. Zo voorkom je dat één incident alle data tegelijk raakt.
2 verschillende opslagmedia
Bewaar je back-ups op minimaal twee verschillende media of opslagvormen. Denk aan combinaties zoals lokale opslag en cloudopslag, disk-based back-up en object storage, of NAS en immutable cloudopslag. Spreiding verkleint het risico dat een storing op één platform alle back-ups raakt.
1 kopie offsite
Een offsite back-up staat op een andere fysieke of logische locatie dan je primaire omgeving. Dit beschermt tegen brand, diefstal, overstroming, hardwarefalen of een grote datacenteruitval. Voor moderne organisaties kan offsite betekenen: een tweede datacenter, een cloudomgeving of een managed backup-platform.
1 kopie offline, air-gapped of immutable
Dit is de cruciale toevoeging van de 3-2-1-1-regel ten opzichte van de klassieke 3-2-1. Minimaal één back-up moet zo zijn opgeslagen dat aanvallers, malware of per ongeluk uitgevoerde opdrachten deze niet kunnen verwijderen of versleutelen.
Dat kan op drie manieren:
- Offline: de back-up is fysiek of logisch losgekoppeld van het netwerk.
- Air-gapped: er is geen directe verbinding tussen de back-up en de productieomgeving.
- Immutable: de back-up kan gedurende een ingestelde periode niet worden aangepast of verwijderd, zelfs niet door een beheerder.
Voor ransomware recovery is deze kopie cruciaal. Het is vaak het verschil tussen veilig herstellen en volledig afhankelijk zijn van de aanvaller.
Wat is het verschil tussen 3-2-1-1 en 3-2-1-1-0?
De 3-2-1-1-regel en de 3-2-1-1-0-regel lijken sterk op elkaar. Het verschil zit in de laatste “0”:
- 3-2-1-1 vereist een offline, air-gapped of immutable kopie, maar schrijft geen expliciete herstelvalidatie voor.
- 3-2-1-1-0 voegt daaraan toe dat back-ups actief getest en geverifieerd moeten zijn op herstel — nul fouten na back-upcontrole.
De 3-2-1-1-regel is daarmee een praktische tussenstap. Het is al een stevige verbetering ten opzichte van 3-2-1, maar zonder de verplichte verificatiestap van 3-2-1-1-0.
Een praktisch voorbeeld
Stel: je organisatie gebruikt Microsoft 365 en lokale servers. Een 3-2-1-1-aanpak kan er zo uitzien:
- Productiedata staat in Microsoft 365 en op lokale servers.
- Eerste back-up op een lokaal backup-appliance.
- Tweede back-up naar cloud object storage (offsite).
- De cloudkopie is ingesteld als immutable voor 30 of 60 dagen.
Wanneer ransomware toeslaat, is de immutable cloudkopie beschermd. Aanvallers kunnen die kopie niet versleutelen of verwijderen. Je kunt herstellen naar een schoon herstelpunt zonder losgeld te betalen.
Veelgemaakte fouten bij de 3-2-1-1-regel
Organisaties die de 3-2-1-1-regel willen toepassen, maken soms fouten die de bescherming ondermijnen:
- Immutable storage is ingesteld maar nooit getest op herstel.
- De “offline” kopie is nog steeds verbonden met het netwerk via een beheeraccount.
- Immutability is ingesteld voor te korte perioden — sluimerende aanvallen worden gemist.
- Microsoft 365 of SaaS-data wordt niet apart geback-upt.
- Eén beheeraccount heeft volledige controle over alle back-ups inclusief de immutable kopie.
- Geen documentatie van de back-uparchitectuur of herstelprocedures.
Hoe begin je met de 3-2-1-1-regel?
Als je al een 3-2-1-strategie hebt, is de stap naar 3-2-1-1 relatief klein. Stel jezelf deze vragen:
- Heb ik al een offsite kopie?
- Is er een back-up die niet via het reguliere netwerk bereikbaar is?
- Ondersteunt mijn back-upoplossing immutable storage?
- Hoe lang moet de immutability-periode zijn om sluimerende aanvallen af te dekken?
- Wie heeft toegang tot de beschermde kopie, en is dat beperkt genoeg?
Zodra je een offline, air-gapped of immutable kopie hebt toegevoegd, heb je de 3-2-1-1-basis op orde. De volgende stap is het toevoegen van herstelvalidatie om naar 3-2-1-1-0 te groeien.
Conclusie
De 3-2-1-1 Backup Rule is een directe en effectieve uitbreiding op de klassieke 3-2-1-strategie. Door één kopie te vereisen die offline, air-gapped of immutable is, biedt deze regel specifieke bescherming tegen ransomware en kwaadwillige verwijdering van back-ups.
Samengevat:
- 3 kopieën van data.
- 2 verschillende opslagmedia.
- 1 kopie offsite.
- 1 kopie offline, air-gapped of immutable.
De 3-2-1-1-regel is een stevige tussenstap op weg naar 3-2-1-1-0. Wanneer je ook actief gaat testen of back-ups herstelbaar zijn, heb je de meest volledige en moderne backup-standaard voor cyberweerbaarheid op orde.




