Object First streeft ernaar om de onvergankelijkheid van backups om te vormen tot iets dat niet afhankelijk is van complexe configuraties of de ervaring van de beheerder. Het bedrijf, opgericht in 2022 door Ratmir Timashev en Andrei Baranov—de makers van Veeam—heeft haar aanbod opgebouwd rond Ootbi, een opslagapparaat dat exclusief is ontworpen voor Veeam-omgevingen en bedoeld is om backup-kopieën te beschermen tegen ransomware, interne fouten en bedreigingen van gebruikers met privileges.
De commerciële belofte is ambitieus: “absolute onvergankelijkheid”. In de praktijk betekent dit dat Object First beweert dat de gegevens opgeslagen in Ootbi niet kunnen worden gewijzigd, verwijderd of versleuteld, zelfs niet als een aanvaller beheerdersreferenties weet te bemachtigen. Dit is een stevige uitspraak in een markt waar veel leveranciers praten over onvergankelijke kopieën, maar waar daadwerkelijke beveiliging vaak afhankelijk is van hoe de opslag is geconfigureerd, wie toegang heeft en of er alternatieve manieren zijn om gegevens te verwijderen of te wijzigen.
Waarom back-up een prioriteitenobject is geworden
De fundamentele verandering wordt veroorzaakt door ransomware. Jarenlang zagen veel bedrijven opslag van backups als een secundair onderdeel: belangrijk, maar losgekoppeld van de dagelijkse gang van zaken. Deduplicatie-apparaten wonnen terrein omdat ze grote hoeveelheden informatie compact konden opslaan, hoewel volledige restores traag konden zijn. Zolang grote incidenten zelden voorkwamen, leek die nadelen acceptabel.
Ransomware veranderde die logica. Aanvallers leerden dat het versleutelen van productieomgevingen niet genoeg is als de organisatie snel kan herstellen vanaf schone kopieën. Daarom begonnen ze ook backups te zoeken, wissen of versleutelen voorafgaand aan de hoofdaanval. Als een organisatie het probleem pas ontdekt als haar productiesystemen al zijn geblokkeerd en de backups ook zijn gecompromitteerd, verdwijnt de werkelijke herstelcapaciteit.
Daarbij komt het interne risico. Ontevreden werknemers, leveranciers met excessieve toegangsrechten of gestolen privileged accounts kunnen van binnenuit schade veroorzaken. In zulke gevallen kan de beveiliging van de backup niet enkel gebaseerd zijn op vertrouwen in beheeraccounts. Het moet beperken wat zelfs een beheerder mag doen.
Object First probeert op deze situatie in te spelen met een gesloten en gerichte architectuur. In tegenstelling tot meer generieke opslagsystemen is Ootbi uitsluitend ontworpen voor Veeam. Deze keuze beperkt flexibiliteit, maar vermindert ook het aanvalspaneel. Minder protocollen, minder use-cases en minder lagen om te onderhouden betekent minder punten waarop een aanvaller kan proberen binnen te dringen.
Door derden gevalideerde onvergankelijkheid
Het meest gevoelige aspect van de aanpak is de validatie. Object First beweert dat haar onvergankelijkheid niet slechts een marketingclaim is en laat hiervoor periodieke tests uitvoeren door NCC Group, een Brits cybersecuritybedrijf. Volgens informatie gepubliceerd door Techzine voert NCC Group elke zes maanden penetratietests uit met uitgebreide toegang tot het systeem, inclusief broncode, en publiceert de resultaten zonder dat Object First invloed kan uitoefenen op de uitkomst.
Een van de conclusies uit sectoranalyses is uiterst helder: zelfs als aanvallers alle geheimen van de klant kennen, inclusief beheerders- en bucketreferenties, kunnen ze de gegevens binnen de Ootbi-apparaten niet wijzigen. Dit betekent niet dat de volledige omgeving van een bedrijf automatisch beschermd is. De Veeam-server, het netwerk, productieomgevingen en retentiebeleid blijven essentieel en moeten goed beveiligd worden. Maar het versterkt wel het idee dat de backup-repository geïsoleerd kan blijven van bepaalde hoog-impact aanvallen.
Technisch combineert Object First verschillende maatregelen. Een daarvan is het uitsluiten van root-toegang via het netwerk. Toegang tot root vereist fysieke aanwezigheid met toetsenbord en monitor. Daarnaast wordt een “eight eyes”-procedure toegepast voor definitieve verwijdering van gegevens: hiervoor zijn bevestigingen nodig van twee aangewezen personen van de klant en twee medewerkers van Object First, naast fysieke aanwezigheid. Hiermee wordt voorkomen dat frauduleuze verzoeken, gestolen referenties of social engineering-aanvallen leiden tot het verwijderen van kritieke kopieën.
De integratie met Veeam berust op SOSAPI, de Smart Object Storage API. Deze API stelt Veeam in staat om informatie te verkrijgen over het S3-compatibele reservoir, systeemcapaciteiten, opslagstatus en functies zoals onvergankelijkheid en efficiënter beheer. In het geval van Ootbi beweert Object First dat deze integratie onvergankelijkheid, load balancing en prestatieverbeteringen mogelijk maakt zonder complexe handmatige configuraties.
Snelle installatie en snelle herstelfocus
Een ander belangrijk punt is de snelheid van implementatie. Volgens Object First kan Ootbi operationeel zijn binnen ongeveer 15 minuten na uitpakken, inclusive eerste backup. Het proces omvat het aansluiten op stroom en netwerk, het instellen van IP-adressen en clusternamen, het genereren van S3-sleutels via de webinterface, het aanmaken van buckets en het richten van de Veeam Backup Server naar deze bestemming. Onvergankelijkheid wordt meteen vanaf het begin geactiveerd.
De eenvoud is geen bijzaak. Veel foutieve backups ontstaan niet door slechte tools, maar door slechte configuratie. Hardened Linux-repositories, compatibele S3-apparaten, permissies, gebruikersrechten, retentie-instellingen, object-locking en toegangsbeleid vereisen technische kennis en onderhoud. Object First streeft ernaar deze last weg te nemen en een kant-en-klaar systeem te bieden dat speciaal voor deze use-case is ontworpen.
Ook qua prestaties speelt dit een rol. Elke Ootbi-node levert tot 2 GB/s doorvoer, en het bedrijf spreekt van lineair schaalbare groei bij het toevoegen van nodes. Clusters kunnen uitbreiden tot 7 PB via scale-out repositories in Veeam, die voor beheerders als één enkele repository worden gepresenteerd. Deze architectuur is gericht op snelle restores, inclusief instant VM Recovery.
Object First beweert dat minstens 25 virtuele machines gelijktijdig kunnen worden hersteld direct vanaf de backup-opslag via Veeam’s Instant VM Recovery. In tegenstelling tot traditionele deduplicatie-apparaten, die vaak zware blokherstelprocessen vereisen, biedt deze aanpak snellere hersteltijden. In een echte incidentsituatie, waar elke verloren minuut geld en reputatie kost, is snelheid cruciaal.
De fabrikant breidt deze aanpak inmiddels uit naar distributed omgevingen. Zo presenteerde zij in oktober 2025 Ootbi Mini, een compacte versie voor kleine kantoren, remote locaties en edge-omgevingen, met capaciteiten van 8, 16 en 24 TB. Het behoudt dezelfde beveiligings- en onvergankelijkheidsgaranties, maar in een formaat dat geschikt is voor locaties zonder gespecialiseerde lokale IT-infrastructuur.
Recent kondigde Object First ook de algemene beschikbaarheid aan van Fleet Manager, een cloudgebaseerde dienst voor het beheer van gedistribueerde Ootbi-implementaties binnen Veeam-omgevingen. De tool maakt het mogelijk om standaard en Mini-apparaten te beheren via een gecentraliseerd dashboard, ideaal voor organisaties met meerdere vestigingen, managed service providers of bedrijven die een overzicht willen op hun backup-infrastructuur.
Het groeicurve van de business onderstreept dat het probleem goed erkend wordt. Object First meldde in 2025 een wereldwijde omzetstijging van 183 %, met EMEA als sterkste regio, waar de groei bijna verviervoudigde (515 % jaar-op-jaar). De vraag komt vooral uit het middenbedrijf en sectoren waar snelle recoveries en databezit van groot belang zijn, zoals gezondheidszorg, industrie, financiële dienstverlening en organisaties met meerdere vestigingen.
Het aanbod vormt geen volledige vervanging voor een uitgebreide veerkrachtstrategie. Geen enkel appliance kan de 3-2-1-1-0-regel, hersteltesten, netwerksegmentatie, MFA, privilegebeheer, offline backups of replicatie naar andere locaties vervangen. Maar Object First onderstreept een heel concreet probleem: veel organisaties gebruiken Veeam, maar hebben niet altijd een vergelijkbaar beschermde backup-opslag.
De introductie van appliances zoals Ootbi bevestigt dat de markt verschuift van puur efficiëntie naar veilige recovery. Minder opslag en meer compressie volstaan niet meer. De belangrijkste vraag wordt nu: kan een organisatie haar systemen herstellen nadat de aanvaller geprobeerd heeft de back-ups te vernietigen?
Veelgestelde vragen
Wat is Object First Ootbi?
Ootbi is een opslagapparaat voor backups, exclusief ontworpen voor Veeam. De naam staat voor “Out-of-the-Box Immutability” en richt zich op het bieden van onvergankelijke S3-opslag vanaf de eerste configuratie.
Wat betekent “absolute onvergankelijkheid”?
Object First gebruikt deze term om aan te geven dat de gegevens niet kunnen worden gewijzigd, verwijderd of versleuteld, zelfs niet als een aanvaller beheerdersreferenties heeft. Dit wordt ondersteund door regelmatige tests door NCC Group.
Vervangt Ootbi Veeam?
Nee. Ootbi vervangt de Veeam-backupsoftware niet, maar fungeert als een onvergankelijk opslagrepository geoptimaliseerd voor Veeam Backup & Replication-omgevingen.
Voor wie is Ootbi Mini geschikt?
Ootbi Mini is bedoeld voor remote kantoren, kleine vestigingen, edge-omgevingen en gedistribueerde locaties die lokale, onvergankelijke backups nodig hebben zonder complexe infrastructuur te hoeven uitrollen.