On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.
With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.
In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.
When backup software becomes an attack surface
According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.
In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.
Core Technology One: Immutable Snapshots
What is "immutability"?
Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.
In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.
Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)
Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.
Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.
In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.
From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice
After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.
The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).
When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.
In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.
This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.
The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.
QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.
In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.
In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.
Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule
The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?
That is, in an information environment, you should have at least:
3 copies of data.
2 different storage media.
1 copy to be stored off-site (Offsite).
1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.
0 errors (automated verification ensures backup is readable and restorable).
Trust is good, but verification and locking are more important
As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.
En ce jour de 2026, nous devons reconnaître une réalité difficile : les « sauvegardes » ne sont plus un refuge sûr pour la cybersécurité, mais sont devenues la cible principale des attaques de hackers.
Avec l’armement de l’IA générative (GenAI), les ransomwares modernes (Ransomware 3.0) font preuve d’une intelligence tactique sans précédent. Bien que le temps de présence sur le réseau soit plus court, leur pouvoir destructeur s’est multiplié. Les hackers ne se contentent plus de chiffrer votre environnement de production ; ils privilégient désormais la recherche et la suppression des systèmes de sauvegarde, l’effacement des snapshots, voire l’empoisonnement des données de sauvegarde, laissant les entreprises dans une situation désespérée, sans issue.
Face à de telles menaces, les stratégies de sauvegarde traditionnelles sont devenues obsolètes. Cet article va explorer les deux piliers principaux pour bâtir une cyber-résilience moderne : les snapshots immuables et les sauvegardes Air-Gap physiques/logiques.
Quand le logiciel de sauvegarde devient une surface d’attaque
Selon le dernier rapport sur les menaces du marché, plus de 90 % des attaques par ransomware tentent de détruire les dépôts de sauvegarde. Cela a poussé le marché du stockage et de la cybersécurité à changer de paradigme technique, passant de la question traditionnelle du RTO « Combien de temps nous faudra-t-il pour récupérer ? » à « Sommes-nous sûrs que nos données existent encore ? » En effet, les systèmes de stockage deviennent plus axés sur la sécurité : ils ne sont plus de simples dépôts de données, mais des points de défense critiques dotés de mécanismes intégrés de détection et de prévention des ransomwares. Par ailleurs, les exigences liées à l’assurance réseau (Cyber Assurance) incluent déjà les « sauvegardes immuables » comme condition préalable à la souscription ou au règlement des sinistres.
À l’ère de l’IA contre l’IA, même si les défenses périmétriques traditionnelles (pare-feu/EDR) bloquent 99 % des attaques, le 1 % restant peut toujours être fatal. Ainsi, les données de sauvegarde « immuables » sont l’atout clé pour permettre aux entreprises de refuser de payer une rançon lors des négociations.
Technologie clé n°1 : les snapshots immuables
Qu’est-ce que « l’immuabilité » ?
En termes simples, cela signifie « écrire une fois, lire plusieurs fois » (WORM - Write Once, Read Many). Une fois les données écrites et verrouillées, pendant la période de rétention définie, personne — y compris les membres de la gestion système, les détenteurs des droits root, ou même le logiciel QES lui-même — ne peut modifier ou supprimer ces données.
Ces dernières années, grâce à l’adoption généralisée de l’Object Lock, le verrouillage d’objet basé sur l’API S3 est devenu la norme pour les objets de stockage cloud et sur site. De nombreux modèles modernes de baies de stockage haute performance (All-Flash Arrays) intègrent désormais cette fonctionnalité directement au niveau sous-jacent, éliminant le besoin de couches logicielles supplémentaires. De plus, l’environnement informatique a introduit la suppression avec authentification multi-facteurs (MFA). Même si un hacker obtient les identifiants administrateur et souhaite modifier la politique d’immuabilité ou supprimer de force des snapshots, le système déclenche le « principe des quatre yeux », exigeant plusieurs personnes et facteurs d’authentification avant toute approbation. Cela garantit le caractère indélébile des données.
Cœur technique II : isolation physique et logique (sauvegardes Air-Gap, sauvegarde par isolation Airgap)
Les Air-Gap traditionnels et modernes sont déjà très différents. Autrefois, on considérait l’Air-Gap comme le fait de retirer la bande et de la placer dans un coffre-fort. Bien que cela soit efficace, la vitesse de restauration (RTO) est trop lente et ne répond plus aux exigences des entreprises modernes. Cependant, cela peut toujours servir de nœud de sauvegarde hors site et, en cas d’interruption réseau et d’impossibilité de récupération, agir comme ultime ligne de défense.
Le « virtual air-gap » moderne fait davantage référence à l’isolation logique et au blocage au niveau réseau, y compris les réseaux non routables (Non-routable Networks). On peut stocker les sauvegardes dans un segment réseau totalement isolé de la production, et n’ouvrir un canal sécurisé spécifique pour le transfert des données qu’au moment planifié de la sauvegarde. Une fois la sauvegarde terminée, ce canal sécurisé est immédiatement fermé, empêchant ainsi les hackers d’accéder à cette zone de sauvegarde dorée, isolée et inatteignable.
De plus, les entreprises mettent aussi en place un environnement de restauration isolé (Cleanroom Recovery), utilisant des ressources cloud pour établir une zone propre et sécurisée distincte. Avant de restaurer les données de sauvegarde dans l’environnement de production, un scan et une identification par IA sont d’abord effectués dans cette zone sécurisée pour s’assurer qu’aucun logiciel malveillant n’y est caché.
De la « déconnexion manuelle » à « l’isolation intelligente » : l’évolution de la technologie Airgap+ en pratique
Après avoir compris la théorie de l’air-gap, le défi pratique le plus courant pour les entreprises est : « Les équipes IT doivent-elles vraiment aller chaque jour en salle serveur pour brancher et débrancher les câbles réseau ? » À l’ère de la pénurie de main-d’œuvre, cela est clairement irréaliste. C’est pourquoi une nouvelle génération de technologies de protection des sauvegardes a introduit le concept d’« Active Air-Gap », comme la technologie Airgap+ de QNAP, qui automatise et rend ce concept intelligent.
La logique centrale de cette technologie repose sur le concept de « déconnecté par défaut ». Contrairement aux pare-feu traditionnels qui reposent uniquement sur des règles logicielles pour bloquer le trafic, l’Airgap+ moderne intègre le logiciel de sauvegarde (comme HBS 3) avec la couche de contrôle de l’unité réseau (Routeur ou Switch). Ce n’est qu’au moment où une tâche de sauvegarde est lancée que le système envoie une commande pour « réveiller » l’interface réseau spécifique (Link Up) ; une fois la transmission terminée, l’interface réseau est immédiatement désactivée au niveau physique ou logique (Link Down).
Lors de la configuration de la sauvegarde HBS et de la sélection de l’unité NAS distante, vous pouvez facilement activer le serveur RTRR. Faites défiler la page pour trouver l’option Airgap+.
Sur l’image, vous voyez que nous avons sélectionné un Switch QNAP compatible Airgap+. Dans ce cas, nous avons choisi le QSW-M3224-24T. On constate que la vitesse de test réelle a atteint 1,02 Go par seconde. L’environnement entre les deux appareils est connecté via un réseau 10GbE, ce qui rend la synchronisation des sauvegardes bien plus efficace.
Ce design crée une « fenêtre temporelle » difficile à franchir pour les hackers, car 99 % du temps, le serveur de sauvegarde est totalement invisible sur le réseau (Invisible), donc indétectable par les outils de scan et inaccessible par les ransomwares. En utilisant un routeur QNAP ou un switch QNAP compatible, vous pouvez déployer cette version améliorée d’Airgap+ avec une isolation de sécurité encore plus élevée.
L’unité NAS protégée sera marquée comme protégée dans HBS 3. Même si vous essayez de vous connecter à cette adresse IP, le système échouera, car elle est cachée ou bloquée par le Switch ou le Routeur.
L’unité NAS QNAP protégée par Airgap+ ne sera pas visible sur le réseau interne. Comme le montrent les deux images ci-dessous, même le Qfinder Pro de QNAP ne peut pas trouver ce NAS après que le système de sauvegarde a mis en place le mécanisme Airgap+.
De plus, pour les environnements à haut niveau de sécurité, une architecture avancée peut même adopter le « Bridge Mode », c’est-à-dire qu’on peut ajouter une unité pont intermédiaire (Bridge NAS) qui ne stocke pas de données entre l’environnement de production et le coffre-fort de sauvegarde. Le serveur de production ne peut accéder qu’à l’unité intermédiaire, tandis que le coffre-fort de sauvegarde réel est caché derrière cette unité, formant une « défense en profondeur » qui isole la zone de sauvegarde principale. Même si l’environnement de production est totalement compromis, les attaquants ne peuvent toujours pas trouver de chemin numérique vers le cœur de la sauvegarde, ce qui renforce considérablement la sécurité ultime des données de sauvegarde.
Dans cet environnement, l’interface du switch QNAP QSW-M3224-24T affiche immédiatement que l’unité NAS TS-855X est connectée aux ports 17, 19 et 23, tous indiqués comme déconnectés.
Stratégie pratique : faire évoluer la règle de sauvegarde 3-2-1 vers la règle 3-2-1-1-0
L’ancienne « règle 3-2-1 » (3 copies, 2 types de supports, 1 hors site) s’avère insuffisante face aux attaques ciblées. De nombreuses entreprises, lors de la mise en œuvre de leur SI et de leur environnement réseau, ont déjà commencé à promouvoir l’adoption de la « règle 3-2-1-1-0 ». De quoi s’agit-il ?
C’est-à-dire que dans un environnement informatique, il faut au moins :
3 copies des données.
2 supports de stockage différents.
1 copie stockée hors site (Offsite).
1 copie hors ligne ou immuable (Offline / Immutable), qui est actuellement un point clé sur le marché.
0 erreur (la vérification automatisée garantit que la sauvegarde est lisible et restaurable).
La confiance c’est bien, mais la vérification et le verrouillage sont essentiels
Alors que le paysage mondial de la cybersécurité devient de plus en plus flou, l’identité peut être usurpée et les vulnérabilités exploitées par des attaques zero-day. Seuls les snapshots immuables et les sauvegardes Air-Gap offrent la nouvelle génération de coffres-forts numériques, garantissant qu’à l’ère des ransomwares, les données cœur de l’entreprise restent intactes et préservées.
7 min de lecture
