Unstoppable mutated viruses: When cloud giants also start relying on AI
A common backup method for small and medium-sized companies is to directly synchronize a large number of project files to the cloud hard disk drives. However, if one day an employee accidentally clicks on a malicious phishing email, ransomware quietly runs in the background, encrypting all files on the computer into meaningless gibberish. Without any blocking mechanism, the synchronization software will faithfully upload these “already encrypted files,” even instantly overwriting the original good backups on the cloud, causing the company’s project core assets to be wiped out in an instant.
To address this dire situation, recently Google Drive Desktop for paid Workspace users introduced a major update: AI anomaly detection and a 25-day rollback mechanism. By monitoring file change patterns on the local device with AI models, if a sudden surge of encrypted characteristics is detected, the system will immediately “hit the brakes” and temporarily pause synchronization, notifying administrators. Combined with the 25-day rollback mechanism, users can restore files. This update reveals an important trend in modern cybersecurity: backup mechanisms are evolving, moving from simple “scheduled backups” to a multi-layered defense structure that integrates real-time detection, offline isolation, and immutable protection.
Root Cause Analysis: Why is backup not equal to being securerestore?
Many IT administrators have a misconception: "I perform regular backups, so I'm not afraid of ransomware."
However, modern ransomware attack methods have evolved into highly targeted Advanced Persistent Threats (APT). They often lurk in the system for weeks or even months before launching an attack, searching everywhere for backup servers to steal Permission. The real root of the problem lies in the "propagation of contamination" and the "passivity of defense." If there is no anomaly detection, malware will infiltrate all backup pools simultaneously. This is like a car without an active collision avoidance system, where you can only rely on airbags to reduce damage after the fact.
Solution Concept: Collaboration between proactive vehicle braking and airbags
A complete modern data protection framework must be built on the collaborative relationship between “AI anomaly detection” and “data backup and recovery”:
| Defense Layer |
Role Positioning |
Key Indicators |
Limitations |
| AI anomaly detection (NDR/EDR) |
Active braking — cut off transmission chain |
MTTD (Mean Time to Detect) |
False Negative, zero-day attack |
| Backup and snapshot restore |
Safety airbag — return to healthy state |
RTO / RPO |
If backup is contaminated, it becomes invalid |
-
AI anomaly detection (determining stop loss point): Through Networking packet analysis (NDR, Network Detection and Response) or storage I/O behavior analysis, AI instantly detects abnormal encryption and massive read/write behaviors, cutting off the transmission chain.
-
Backup and Recovery (Determines whether recovery is possible): No matter how powerful AI becomes, there will always be gaps or zero-day vulnerabilities. Having an independent Permission and a history version that cannot be tampered with is the ultimate guarantee for restoring operations.
How QNAP products solve the issue: From file monitoring to triple-layer vertical deep protection with immutable snapshots
Although large-scale cloud services like Google have begun to introduce AI protection, when facing the complex internal data of large enterprises, relying solely on cloud-based paid backup solutions is not a long-term plan. QNAP directly integrates a similar "proactive detection" concept into the NAS operating system, and combines protection at the Networking layer and storage layer, forming a three-layer in-depth structure that allows enterprises' local data to also receive comprehensive protection.
First layer: storage layer real-time detection — Security Center Anomaly File Activity Monitoring. QNAP NAS is already equipped with functionality similar to Google Drive AI detection. Security Center proactively monitors file activities on NAS, and when it detects abnormal mass file modifications or encryption behaviors, administrators can instantly track the number of abnormal files within a specific time period via the dashboard, and customize security measures (protection / backup / interruption) to respond to ransomware, malicious software, or human error, minimizing data loss risk.
Second layer: Networking layer proactive blocking — QNAP ADRA NDR. In addition to file layer detection, ADRA NDR instantly monitors malicious traffic and lateral movement entering the internal network from the Networking encapsulation layer, providing alerts and blocking connections before ransomware attempts to spread to other unit, cutting off the transmission chain at the source.
Third Layer: Immutable Backup at the Base Layer — ZFS Snapshots and WORM. Compared to cloud hard disk drives, which only provides 25 days of file version rollback, the QNAP QuTS hero operating system based on the ZFS file system offers lightweight block-level snapshots, supports immutable snapshots and WORM (Write Once Read Many) technology. Even if a hacker obtains administrator Permission, they cannot delete or tamper with historical snapshots within the locked period, ensuring that even if the first two layers of defense are breached, the enterprise still retains a clean restore point.
Quantifying benefits and environmental considerations
According to statistics from multiple cybersecurity industry reports in 2025, the average downtime for enterprises after a ransomware attack is about 24 days, while the average recovery cost excluding ransom payments is approximately $1.53 million. The total global losses caused by ransomware are projected to rise to $74 billion by 2026. Notably, organizations with immutable backup strategies can reduce their recovery time by more than 50% compared to traditional methods.
Imagine a medium-sized manufacturing or service enterprise storing its operations data on a ZFS snapshot-supported NAS unit. One day, the company is unfortunately hit by a ransomware attack. After Security Center detects the anomaly, it automatically triggers protection measures. The IT administrator immediately logs into the system and initiates a snapshot restore. Essentially, a ZFS snapshot restore is a “block pointer redirection” operation—the system only needs to redirect the block pointers of the data set to the state at the time the snapshot was taken, rather than copying or re-downloading files one by one. Therefore, regardless of whether the data size is hundreds of gigabyte or dozens of terabyte, the restore operation itself can be completed in a very short time. In contrast, re-downloading terabyte-level data from the cloud could take days. This architectural difference is expected to significantly shorten the enterprise’s RTO (Recovery Time Objective) and greatly reduce operational losses caused by downtime.
Puts security control firmly in your hands
Google Drive's introduction of AI protection is a blessing for individual users, but it also highlights the inseparable link between “detection + restoration.” For enterprises, aside from entrusting enterprise data to a cloud space that is billed per user and limited in capacity, it is even more important to choose an enterprise-grade storage protection solution with autonomous control and deeper architecture, truly building an impregnable digital data fortress.
Virus mutants imparables : Quand les géants du cloud misent aussi sur l’IA
Une méthode de sauvegarde courante pour les petites et moyennes entreprises consiste à synchroniser directement un grand nombre de fichiers de projet sur des disques durs cloud. Cependant, si un jour un employé clique par erreur sur un e-mail de phishing malveillant, un ransomware s’exécute discrètement en arrière-plan, chiffrant tous les fichiers de l’ordinateur en charabia illisible. Sans aucun mécanisme de blocage, le logiciel de synchronisation téléversera fidèlement ces « fichiers déjà chiffrés », écrasant même instantanément les bonnes sauvegardes d’origine sur le cloud, ce qui peut anéantir en un instant les actifs stratégiques de l’entreprise.
Pour faire face à cette situation critique, Google Drive Desktop pour les utilisateurs Workspace payants a récemment introduit une mise à jour majeure : détection d’anomalies par IA et mécanisme de restauration sur 25 jours. En surveillant les schémas de modification des fichiers sur l’appareil local à l’aide de modèles IA, si une soudaine vague de caractéristiques de chiffrement est détectée, le système « freine » immédiatement et suspend temporairement la synchronisation, tout en notifiant les administrateurs. Combiné au mécanisme de restauration sur 25 jours, les utilisateurs peuvent restaurer leurs fichiers. Cette mise à jour révèle une tendance majeure de la cybersécurité moderne : les mécanismes de sauvegarde évoluent, passant de simples « sauvegardes planifiées » à une structure de défense multicouche intégrant détection en temps réel, isolation hors ligne et protection immuable.
Analyse de la cause profonde : Pourquoi sauvegarder n’est pas synonyme de restauration sécurisée ?
Beaucoup d’administrateurs IT ont une idée reçue : « Je fais des sauvegardes régulières, donc je ne crains pas les ransomwares. »
Cependant, les méthodes d’attaque des ransomwares modernes ont évolué vers des menaces persistantes avancées (APT) hautement ciblées. Elles restent souvent tapies dans le système pendant des semaines, voire des mois, avant de lancer leur attaque, cherchant partout les serveurs de sauvegarde pour voler les Permissions. Le vrai problème réside dans la « propagation de la contamination » et la « passivité de la défense ». Sans détection d’anomalies, les malwares infiltrent tous les pools de sauvegarde simultanément. C’est comme une voiture sans système d’évitement de collision actif, où l’on ne peut compter que sur les airbags pour limiter les dégâts après coup.
Concept de solution : Collaboration entre freinage proactif et airbags
Un cadre de protection des données moderne et complet doit reposer sur la collaboration entre « détection d’anomalies par IA » et « sauvegarde et restauration des données » :
| Couche de défense |
Rôle |
Indicateurs clés |
Limites |
| Détection d’anomalies IA (NDR/EDR) |
Freinage actif — coupe la chaîne de transmission |
MTTD (Mean Time to Detect) |
Faux négatifs, attaques zero-day |
| Sauvegarde et restauration par snapshot |
Airbag de sécurité — retour à l’état sain |
RTO / RPO |
Si la sauvegarde est contaminée, elle devient invalide |
-
Détection d’anomalies IA (détermination du point d’arrêt des pertes) : Grâce à l’analyse des paquets réseau (NDR, Network Detection and Response) ou à l’analyse du comportement I/O de stockage, l’IA détecte instantanément les comportements de chiffrement anormaux et les lectures/écritures massives, coupant la chaîne de transmission.
-
Sauvegarde et restauration (détermine la possibilité de récupération) : Quelle que soit la puissance de l’IA, il y aura toujours des failles ou des vulnérabilités zero-day. Disposer de Permissions indépendantes et d’un historique de versions non modifiable est la garantie ultime pour restaurer les opérations.
Comment les produits QNAP résolvent le problème : De la surveillance des fichiers à la protection verticale triple couche avec snapshots immuables
Bien que les grands services cloud comme Google commencent à introduire la protection par IA, face à la complexité des données internes des grandes entreprises, s’appuyer uniquement sur des solutions de sauvegarde cloud payantes n’est pas une stratégie à long terme. QNAP intègre directement un concept similaire de « détection proactive » dans le système d’exploitation NAS, et combine la protection au niveau réseau et au niveau stockage, formant une structure en profondeur à trois couches qui permet aux données locales des entreprises de bénéficier également d’une protection complète.
Première couche : détection en temps réel au niveau stockage — Surveillance des activités de fichiers anormales du Security Center. Le NAS QNAP est déjà équipé d’une fonctionnalité similaire à la détection IA de Google Drive. Security Center surveille de manière proactive les activités de fichiers sur le NAS, et lorsqu’il détecte des modifications massives ou des comportements de chiffrement anormaux, les administrateurs peuvent instantanément suivre le nombre de fichiers anormaux sur une période donnée via le tableau de bord, et personnaliser les mesures de sécurité (protection / sauvegarde / interruption) pour répondre aux ransomwares, logiciels malveillants ou erreurs humaines, minimisant ainsi le risque de perte de données.
Deuxième couche : blocage proactif au niveau réseau — QNAP ADRA NDR. En plus de la détection au niveau des fichiers, ADRA NDR surveille instantanément le trafic malveillant et les mouvements latéraux entrant dans le réseau interne depuis la couche d’encapsulation réseau, fournissant des alertes et bloquant les connexions avant que le ransomware ne tente de se propager à d’autres unités, coupant la chaîne de transmission à la source.
Troisième couche : sauvegarde immuable à la base — Snapshots ZFS et WORM. Comparé aux disques durs cloud qui n’offrent qu’un retour en arrière sur 25 jours de versions de fichiers, le système d’exploitation QNAP QuTS hero basé sur le système de fichiers ZFS propose des snapshots légers au niveau bloc, prend en charge les snapshots immuables et la technologie WORM (Write Once Read Many). Même si un hacker obtient les Permissions administrateur, il ne pourra ni supprimer ni modifier les snapshots historiques durant la période de verrouillage, garantissant que même si les deux premières couches de défense sont franchies, l’entreprise conserve toujours un point de restauration sain.
Quantification des bénéfices et considérations environnementales
Selon plusieurs rapports de l’industrie de la cybersécurité en 2025, le temps d’arrêt moyen pour les entreprises après une attaque par ransomware est d’environ 24 jours, tandis que le coût moyen de récupération hors paiement de rançon s’élève à environ 1,53 million de dollars. Les pertes mondiales totales causées par les ransomwares devraient atteindre 74 milliards de dollars d’ici 2026. Il est à noter que les organisations disposant de stratégies de sauvegarde immuable peuvent réduire leur temps de récupération de plus de 50 % par rapport aux méthodes traditionnelles.
Imaginez une entreprise de taille moyenne dans l’industrie ou les services stockant ses données opérationnelles sur une unité NAS prenant en charge les snapshots ZFS. Un jour, l’entreprise est malheureusement victime d’une attaque par ransomware. Après détection de l’anomalie par Security Center, des mesures de protection sont automatiquement déclenchées. L’administrateur IT se connecte immédiatement au système et lance une restauration par snapshot. En substance, une restauration de snapshot ZFS est une opération de « redirection de pointeurs de blocs » — le système n’a qu’à rediriger les pointeurs de blocs de l’ensemble de données vers l’état au moment de la prise du snapshot, au lieu de copier ou retélécharger les fichiers un par un. Ainsi, que la taille des données soit de plusieurs centaines de gigaoctets ou de dizaines de téraoctets, l’opération de restauration elle-même peut être réalisée en très peu de temps. À l’inverse, retélécharger des données de plusieurs téraoctets depuis le cloud pourrait prendre des jours. Cette différence d’architecture devrait considérablement raccourcir le RTO (Recovery Time Objective) de l’entreprise et réduire fortement les pertes d’exploitation dues à l’arrêt de l’activité.
Gardez le contrôle de la sécurité entre vos mains
L’introduction de la protection IA par Google Drive est une aubaine pour les utilisateurs individuels, mais elle met aussi en lumière le lien indissociable entre « détection + restauration ». Pour les entreprises, au-delà de confier leurs données à un espace cloud facturé par utilisateur et limité en capacité, il est encore plus important de choisir une solution de protection de stockage de niveau entreprise, avec contrôle autonome et architecture renforcée, afin de bâtir un véritable bastion numérique imprenable pour leurs données.
6 min de lecture
