Tech Pulse

Hogyan védik az adatok biztonságát a pillanatképek, és hogyan ellenállnak a zsarolóvírusoknak

Ez a tartalom gépi fordításal készült. Kérjük, olvassa el a Gépi fordításról szóló jognyilatkozatot.

The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection

In the battlefield of enterprise cybersecurity defense, ransomware (Ransomware) has undoubtedly become the most troublesome adversary in recent years. When hackers encrypt your critical data and demand a huge ransom, traditional "backup restore" often results in excessive downtime (high RTO), causing severe business interruption and losses.

At this time, a storage-level technology called "Snapshot" has become the last line of defense against ransomware for many businesses and individual users, and is even referred to as the "time machine" for data recovery.

So what exactly is a snapshot? How can it instantly "restore" encrypted files? Besides passive restore, what proactive detection capabilities does modern snapshot technology offer? This article will delve into the underlying principles and key management aspects of snapshots.

What is a snapshot?

Simply put, a snapshot is a record of the state of a file system or storageunit at a “specific point in time.” It is important to clarify that a snapshot does not “make another copy” of the data, but rather records the version state of every file, directory, and block mapping relationship (Metadata, Block map) in the file system at that moment.

Many people mistakenly think that a snapshot is a “backup,” but in fact, the two are fundamentally different in terms of technical principles:

Backup: creates a complete copy of the data to another physical Storage Space (a full copy).
Snapshot: is more like taking a “photo” of the current data structure. It usually only records the pointers or metadata of the data, rather than duplicating the data itself.

Simply put, when we back up 100 gigabyte photos in hard disk drives, making 10 backups will consume 1TB of space. But when we use snapshot technology, under “normal usage scenarios,” keeping 10 snapshots usually only takes up an extra 1%–20% of space (about 1–20 GB), which is a huge efficiency difference.

Comparison table of space and time costs between snapshots and traditional backups

Comparison Items	Initial data Amount (Day 0)	Day 1 (Change 10GB)	Day 2 (Change 10GB)	Total Space Used (Approximate)	Establishment/restore Speed
Traditional Full Backup (Full Backup)	100 gigabyte	+100 gigabyte (Second Full Backup)	+100 gigabyte (Third Full Backup)	300 gigabyte	Slow (requires moving a large amount of data)
Snapshot	100 gigabyte (original data)	+10 gigabyte (only records changed blocks)	+10 gigabyte (only records changed blocks)	120 gigabyte	Ultra-fast (only marks pointers)

Chart Help: This table simulates an environment where an initial 100GB data changes by 10GB each day over two days. You can see that traditional backups duplicate the entire data each time, resulting in linear and multiplied space consumption. In contrast, snapshots only record the changed blocks, so space growth is extremely slow. This explains why businesses can easily retain hundreds of snapshot time points.

Technical Principle: Operation and Trade-offs of COW and ROW

Currently, the mainstream snapshot technologies are mainly divided into two types, each with its own advantages in terms of efficiency and space utilization:

1. Copy-On-Write (COW)

When the original data needs to be modified, the system will first pause the write operation, copy the “old data block” to the snapshot reserved area, and then allow the new data to be written in the original location.

Advantage: Reading the original data is very fast because the data location has not changed. Disadvantage: Write performance is relatively poor (because each write operation requires "read old data -> copy -> write new data"), which is known as the "write penalty (Write Penalty)".

2. Redirect-On-Write (ROW) during writing

This is a common approach used in modern high-efficiency storage (such as the ZFS file system and mid-to-high-end NAS). When new data is written, the system does not move the old blocks, but instead writes the new data directly to a “new location” on the hard disk drives, and updates the pointer to the new location, while the snapshot continues to retain the pointer to the old blocks.

Advantage: Creating snapshots and writing data has almost no impact on performance, and the speed is extremely fast. Cost: Fragmentation. This is a physical limitation that ROW technology must face. Due to the data blocks of files being scattered across different physical locations in hard disk drives after multiple modifications, over time this may lead to decreased read performance of traditional hard disk drives (HDD). Therefore, for storage systems using ROW technology, it is generally recommended to pair with an all-flash architecture (All-Flash) or a robust background auto-reorganization mechanism to mitigate this impact.

How do snapshots defend against ransomware? From passive restore to proactive detection

The standard operating procedure for ransomware software is: read file → encrypt → delete original file → leave behind the encrypted, scrambled file. In response to this process, QuicKProtect provides multiple layers of defense mechanisms.

Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)

Speaking of snapshots, we must also distinguish between "operating system-level" and "storageunit level." The first action of modern ransomware (such as LockBit, BlackCat) after infiltrating Windows is often to execute commands to delete VSS (Volume Shadow Copy), preventing users from utilizing the built-in restore feature of Windows. At this point, snapshots at the storageunit level play the most critical role.

Because NAS or SAN snapshot management is independent of the operating system (Out-of-Band), even if a hacker obtains Administrator Permission of Windows and wipes out local snapshots, they still cannot delete the underlying snapshots on storageunit through commands.

Key Two: Instant restore (Instant Recovery)

Because snapshots preserve the 'point-in-time state' of files before they are encrypted, when ransomware is detected, administrators only need to select a time point before the infection (for example, if the infection occurred at 10:00, select the 09:55 snapshot) in the management interface of storageunit.

At this point, whether the data size is 1TB or 100TB, using snapshot restore usually only takes a few seconds to a few minutes. The system just needs to point the index back to the old blocks, which greatly reduces the Recovery Time Objective (RTO).

Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector

Traditional snapshots are passive, but the latest storage technology is using snapshots for “proactive defense.” When ransomware encrypts files, it causes the “entropy” (randomness) of data blocks to spike dramatically (after encryption, data appears as random data).

Modern storageunit will monitor the entropy changes of write blocks in real time. If a large number of blocks show abnormal spikes in entropy along with high-frequency writes, the system will determine that an attack is occurring and will automatically trigger immutable snapshots, or even proactively cut off write Permission to the connection (SMB/NFS).

In addition, if the system itself provides appropriate mechanisms, you can also monitor suspicious file operations through Security Center (file activity monitoring). Once an anomaly is detected, protection measures can be triggered, such as setting the volume to read-only, automatically creating snapshots, or temporarily suspending the snapshot schedule, to prevent data encryption or data loss.

Advanced Protection: Immutable Snapshots and Management Principles

As cybersecurity attacks evolve, hackers not only encrypt data, but also attempt to compromise storageunit administrators Permission to quickly destroy snapshots. To counter this kind of 'cut-off' attack, it is necessary to implement the following stricter locking mechanisms.

Immutable Snapshots / WORM

This is a “Write Once, Read Many” technology. Once an immutable snapshot is set (for example, locked for 7 days), during this period, no one (including Administrators or Root accounts with the highest Permission) can delete or modify these snapshots. It’s like locking the film in a time-locked safe.

The last line of defense at the management layer: MFA and the four-eyes principle

No matter how strong the technology, human nature is often the weak point. What if a hacker obtains the highest Permission password through social engineering? The new generation of information security compliance requirements (such as the revised ISO 27001) recommend implementing the following measures:

Multi-factor Authentication (MFA): When logging into the storage management interface or performing deletion operations, mobile OTP two-step verification is mandatory. Using Google Authenticator or Microsoft Authenticator has become standard practice. Similar confirmations are also required for critical actions in systems and services such as ZOHO and Cloudflare DNS. Administrators should be accustomed to and routinely deploy these measures in daily system operations. Four-Eyes Principle (Four-Eyes Principle): For destructive commands such as "Delete Snapshot" or "Format", the system should be configured to require simultaneous License execution by "two" different admin accounts. This can effectively prevent a single account from being compromised or maliciously abused by insiders.

Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.

Although Quick Photo is extremely powerful on ransomware prevention software, and it is also very useful when colleagues in the office call the administrator or IT staff to rescue them from accidental deletion or system damagedata, we still need to clarify the actual perceptions in the market:

The first point is that snapshots cannot completely replace backups, as snapshots still rely on the original storageunit. If the entire NAS hardware fails or hard disk drives is damaged, the snapshots will also be lost. When implementing storage environments for enterprises or home use, we should always follow the 3-2-1 backup principle (3 copies of data, 2 different media, 1 offsite), and preferably prepare an extra NAS to back up your NAS or storageunit. In addition, you can purchase tape drives, external hard disk drives, and other devices for backup, as well as cloud and offsite backups, etc. Through Hybrid Backup Sync 3, you can achieve multi-layered backups, including air-gapped backups. In today's world where threats are increasing, the 3-2-1 backup principle remains a golden rule.

The second point is that snapshots can save data, but they cannot save confidential information. Although snapshots solve the issue of "data availability (Availability)" and allow you to recover your files, the current trend of "Double Extortion" means that hackers will first steal your sensitive data and then encrypt it. Even if you use snapshots to quickly restore restore and data, hackers can still threaten to expose your customer data. Therefore, snapshots must be paired with DLP (Data Loss Prevention for data leakage protection) and Networking encrypted transmission to form a complete data security strategy.

Snapshot Protection Capability Grading Checklist

Protection function	Basic Snapshot	Advanced Snapshot	Enterprise Management
Instant restore (Instant Recovery)	✅	✅	✅
Defense against VSS deletion attacks (independent at the base layer)	✅	✅	✅
Defense against highest-level Permission administrator deletion (WORM/immutable)	❌ (Admin can delete)	✅ (No one can delete within the set period)	✅
Active detection of ransomware encryption behavior (AI entropy analysis)	❌	✅ (Detected and automatically quick snapshot/disconnect)	✅
Defense against internal malicious destruction/password compromise (MFA/four-eyes principle)	❌	❌	✅ (Requires dual review for deletion)

A zsarolóvírusok „időgépe”: pillanatkép-technológia alapelvei, támadás és védekezés, valamint a védelem kulcsfogalmai

A vállalati kiberbiztonsági védelem csataterén a zsarolóvírus (Ransomware) kétségtelenül az elmúlt évek legkellemetlenebb ellenfelévé vált. Amikor a hackerek titkosítják a kritikus adataidat és hatalmas váltságdíjat követelnek, a hagyományos „mentés visszaállítása” gyakran túlzott leállási idővel jár (magas RTO), súlyos üzleti megszakítást és veszteségeket okozva.

Ilyenkor egy tárolószintű technológia, az úgynevezett „pillanatkép” (Snapshot) válik sok vállalat és egyéni felhasználó utolsó védelmi vonalává a zsarolóvírusok ellen, sőt, gyakran „időgépként” emlegetik az adat-helyreállításban.

De mi is pontosan a pillanatkép? Hogyan tudja azonnal „visszaállítani” a titkosított fájlokat? A passzív visszaállításon túl milyen proaktív detektálási képességeket kínál a modern pillanatkép-technológia? Ez a cikk a pillanatképek mögötti alapelveket és kulcsfontosságú menedzsment szempontokat tárgyalja.

Mi az a pillanatkép?

Egyszerűen fogalmazva, a pillanatkép egy fájlrendszer vagy tárolóegység állapotának rögzítése egy „adott időpontban”. Fontos tisztázni, hogy a pillanatkép nem „készít egy másik másolatot” az adatokról, hanem minden fájl, könyvtár és blokk leképezési kapcsolat (Metaadat, Block map) verzióállapotát rögzíti a fájlrendszerben abban a pillanatban.

Sokan tévesen azt gondolják, hogy a pillanatkép egy „mentés”, pedig technikai elveiben a kettő alapvetően különbözik:

Mentés: teljes adatmásolatot készít egy másik fizikai tárolóhelyre (teljes másolat).
Pillanatkép: inkább olyan, mintha „fotót” készítenénk az aktuális adatstruktúráról. Általában csak az adatok mutatóit vagy metaadatait rögzíti, nem magát az adatot duplikálja.

Egyszerűen: ha 100 gigabájtnyi fotót mentünk merevlemezre, 10 mentés 1TB helyet foglal. Pillanatkép-technológiával „normál használati esetekben” 10 pillanatkép megtartása általában csak 1–20% extra helyet igényel (kb. 1–20 GB), ami óriási hatékonyságbeli különbség.

Pillanatképek és hagyományos mentések hely- és időigényének összehasonlító táblázata

Összehasonlítás	Kezdeti adatmennyiség (0. nap)	1. nap (10GB változás)	2. nap (10GB változás)	Teljes felhasznált hely (kb.)	Létrehozás/visszaállítás sebessége
Hagyományos teljes mentés (Full Backup)	100 GB	+100 GB (második teljes mentés)	+100 GB (harmadik teljes mentés)	300 GB	Lassú (nagy mennyiségű adat mozgatása szükséges)
Pillanatkép	100 GB (eredeti adat)	+10 GB (csak a változott blokkokat rögzíti)	+10 GB (csak a változott blokkokat rögzíti)	120 GB	Szupergyors (csak mutatókat jelöl)

Táblázat magyarázat: Ez a táblázat egy olyan környezetet szimulál, ahol a kezdeti 100GB adat minden nap 10GB-ot változik két napon keresztül. Látható, hogy a hagyományos mentés minden alkalommal duplikálja az egész adatot, így a helyigény lineárisan és többszörösen nő. Ezzel szemben a pillanatkép csak a változott blokkokat rögzíti, így a helyigény növekedése rendkívül lassú. Ezért a vállalatok könnyedén megőrizhetnek akár több száz pillanatkép-időpontot is.

Technikai elv: COW és ROW működése és kompromisszumai

Jelenleg a fő pillanatkép-technológiák két típusba sorolhatók, amelyek hatékonyság és helyhasználat szempontjából eltérő előnyökkel bírnak:

1. Copy-On-Write (COW)

Amikor az eredeti adatot módosítani kell, a rendszer először felfüggeszti az írási műveletet, az „régi adatblokkot” átmásolja a pillanatkép számára fenntartott területre, majd engedi, hogy az új adat az eredeti helyre íródjon.

Előny: Az eredeti adat olvasása nagyon gyors, mert az adat helye nem változott. Hátrány: Az írási teljesítmény viszonylag gyenge (minden írásnál „régi adat olvasása -> másolás -> új adat írása” szükséges), ezt nevezik „írási büntetésnek (Write Penalty)”.

2. Redirect-On-Write (ROW) írás közben

Ez a modern, nagy hatékonyságú tárolókban (pl. ZFS fájlrendszer, közép- és felső kategóriás NAS) gyakori megközelítés. Új adat írásakor a rendszer nem mozgatja a régi blokkokat, hanem az új adatot közvetlenül egy „új helyre” írja a merevlemezen, és frissíti a mutatót az új helyre, miközben a pillanatkép továbbra is a régi blokkok mutatóját őrzi.

Előny: Pillanatképek létrehozása és adatírás szinte semmilyen teljesítménycsökkenést nem okoz, a sebesség rendkívül gyors. Hátrány: Fragmentáció. Ez fizikai korlát, amellyel a ROW technológia szembesül. Mivel a fájlok adatblokkjai többszöri módosítás után szétszóródnak a merevlemezen, idővel ez csökkentheti a hagyományos HDD-k olvasási teljesítményét. Ezért ROW technológiát használó tárolórendszereknél általában ajánlott all-flash architektúra (All-Flash) vagy erős háttér automatikus újraszervezési mechanizmus alkalmazása a hatás mérséklésére.

Hogyan védenek a pillanatképek a zsarolóvírusok ellen? Passzív visszaállítástól proaktív detektálásig

A zsarolóvírus szoftverek standard műveleti eljárása: fájl olvasása → titkosítás → eredeti fájl törlése → hátrahagyott titkosított, összezavart fájl. Erre a folyamatra a QuicKProtect több rétegű védelmi mechanizmust kínál.

Kulcs 1: OS-szintű támadások megkerülése (VSS vs. tároló pillanatkép)

A pillanatképekről beszélve meg kell különböztetni az „operációs rendszer szintű” és a „tárolóegység szintű” pillanatképeket. A modern zsarolóvírusok (pl. LockBit, BlackCat) első lépése Windows alatt gyakran a VSS (Volume Shadow Copy) törlésére irányuló parancsok futtatása, hogy a felhasználók ne tudják használni a Windows beépített visszaállítási funkcióját. Ilyenkor a tárolóegység szintű pillanatképek játszanak kulcsszerepet.

Mivel a NAS vagy SAN pillanatkép-kezelés független az operációs rendszertől (Out-of-Band), még ha egy hacker megszerzi a Windows adminisztrátori jogosultságát és törli a helyi pillanatképeket, akkor sem tudja parancsokkal törölni a tárolóegység alatti pillanatképeket.

Kulcs 2: Azonnali visszaállítás (Instant Recovery)

Mivel a pillanatképek megőrzik a fájlok „pillanatnyi állapotát” a titkosítás előtt, zsarolóvírus észlelésekor az adminisztrátoroknak csak ki kell választaniuk egy fertőzés előtti időpontot (pl. ha a fertőzés 10:00-kor történt, válasszák a 09:55-ös pillanatképet) a tárolóegység kezelőfelületén.

Ekkor, akár 1TB, akár 100TB az adatméret, pillanatkép-visszaállítás általában csak néhány másodpercet vagy percet vesz igénybe. A rendszernek csak vissza kell mutatnia az indexet a régi blokkokra, ami jelentősen csökkenti a Recovery Time Objective-et (RTO).

Kulcs 3: AI entrópia detektálás, az idő-of-flight kamerából detektor lesz

A hagyományos pillanatképek passzívak, de a legújabb tárolótechnológia a pillanatképeket „proaktív védelemre” használja. Amikor a zsarolóvírus titkosítja a fájlokat, az adatblokkok „entrópiája” (véletlenszerűsége) drámaian megugrik (titkosítás után az adat véletlenszerűnek tűnik).

A modern tárolóegység valós időben figyeli az írt blokkok entrópia-változásait. Ha sok blokkban rendellenes entrópia-ugrás és magas frekvenciájú írás jelentkezik, a rendszer támadást észlel, és automatikusan elindítja a módosíthatatlan pillanatképeket, vagy akár proaktívan megszakítja az írási jogosultságot a kapcsolaton (SMB/NFS).

Emellett, ha a rendszer maga megfelelő mechanizmusokat kínál, a Security Centeren (fájlművelet-figyelés) keresztül is monitorozhatod a gyanús fájlműveleteket. Anomália észlelésekor védelmi intézkedések indíthatók, pl. kötet csak olvashatóvá tétele, automatikus pillanatkép létrehozása vagy pillanatkép-ütemezés ideiglenes felfüggesztése, hogy megelőzd az adatok titkosítását vagy elvesztését.

Fejlett védelem: módosíthatatlan pillanatképek és menedzsment elvek

Ahogy a kiberbiztonsági támadások fejlődnek, a hackerek nemcsak titkosítják az adatokat, hanem megpróbálják kompromittálni a tárolóegység adminisztrátori jogosultságát, hogy gyorsan megsemmisítsék a pillanatképeket. Az ilyen „levágó” támadások ellen szigorúbb zárolási mechanizmusokat kell alkalmazni.

Módosíthatatlan pillanatképek / WORM

Ez egy „egyszer írható, többször olvasható” technológia. Ha egy módosíthatatlan pillanatkép be van állítva (pl. 7 napra zárolva), ezen időszak alatt senki (beleértve az adminisztrátorokat vagy root fiókokat a legmagasabb jogosultsággal) sem törölheti vagy módosíthatja ezeket a pillanatképeket. Olyan, mintha a filmet időzáras széfbe zárnánk.

Az utolsó védelmi vonal a menedzsment rétegben: MFA és a négy szem elve

Bármilyen erős is a technológia, az emberi tényező gyakran a gyenge pont. Mi van, ha egy hacker megszerzi a legmagasabb jogosultságú jelszót social engineeringgel? Az új generációs információbiztonsági megfelelőségi követelmények (pl. a módosított ISO 27001) az alábbi intézkedések alkalmazását javasolják:

Többfaktoros hitelesítés (MFA): A tárolókezelő felületre való belépéskor vagy törlési műveletek végrehajtásakor kötelező a mobil OTP kétlépcsős ellenőrzés. A Google Authenticator vagy Microsoft Authenticator használata alapvető gyakorlat lett. Hasonló megerősítés szükséges kritikus műveleteknél olyan rendszerekben és szolgáltatásokban, mint a ZOHO és Cloudflare DNS. Az adminisztrátoroknak hozzá kell szokniuk és rutinszerűen alkalmazniuk kell ezeket a lépéseket a napi rendszerüzemeltetés során. Négy szem elve (Four-Eyes Principle): Olyan destruktív parancsoknál, mint a „Pillanatkép törlése” vagy „Formázás”, a rendszernek úgy kell konfigurálnia, hogy „két” külön admin fiók egyidejű engedélyezése szükséges a végrehajtáshoz. Ez hatékonyan megelőzi, hogy egyetlen fiók kompromittálása vagy belső visszaélés történjen.

A pillanatképek nem mentések, és nem oldják meg a „dupla zsarolóvírus” problémát

Bár a Quick Photo rendkívül hatékony a zsarolóvírus elleni szoftverekben, és nagyon hasznos, amikor az irodában a kollégák az adminisztrátort vagy IT-st hívják véletlen törlés vagy rendszerhiba miatt, mégis tisztázni kell a piaci tévhiteket:

Az első pont, hogy a pillanatképek nem helyettesítik teljesen a mentéseket, mivel a pillanatképek továbbra is az eredeti tárolóegységhez kötődnek. Ha az egész NAS hardver meghibásodik vagy a merevlemez sérül, a pillanatképek is elvesznek. Vállalati vagy otthoni tárolókörnyezet kialakításakor mindig követni kell a 3-2-1 mentési elvet (3 adatmásolat, 2 különböző média, 1 távoli hely), és lehetőleg egy extra NAS-t is készíteni a NAS vagy tárolóegység mentésére. Emellett vásárolhatsz szalagos meghajtót, külső merevlemezt és egyéb eszközöket mentéshez, valamint felhő- és távoli mentéseket stb. A Hybrid Backup Sync 3 segítségével többrétegű mentést valósíthatsz meg, beleértve a légmentes mentéseket is. A mai, egyre növekvő fenyegetések világában a 3-2-1 mentési elv aranyszabály marad.

A második pont, hogy a pillanatképek megmenthetik az adatokat, de nem mentik meg a bizalmas információkat. Bár a pillanatképek megoldják az „adat elérhetőségét (Availability)” és lehetővé teszik a fájlok visszaállítását, a „Double Extortion” trend azt jelenti, hogy a hackerek először ellopják az érzékeny adatokat, majd titkosítják azokat. Még ha pillanatképpel gyorsan visszaállítod az adatokat, a hackerek továbbra is fenyegethetnek az ügyféladatok nyilvánosságra hozásával. Ezért a pillanatképeket DLP-vel (Data Loss Prevention – adatvesztés elleni védelem) és hálózati titkosított átvitellel kell kombinálni a teljes adatbiztonsági stratégia érdekében.

Pillanatkép-védelmi képesség minősítési ellenőrzőlista

Védelmi funkció	Alap pillanatkép	Fejlett pillanatkép	Vállalati menedzsment
Azonnali visszaállítás (Instant Recovery)	✅	✅	✅
VSS törlési támadások elleni védelem (független az alaprétegben)	✅	✅	✅
Legmagasabb jogosultságú adminisztrátor törlés elleni védelem (WORM/módosíthatatlan)	❌ (Admin törölheti)	✅ (Senki sem törölheti a beállított időszakban)	✅
Zsarolóvírus titkosítási viselkedés aktív detektálása (AI entrópia elemzés)	❌	✅ (Detektálva és automatikusan gyors pillanatkép/kikapcsolás)	✅
Belső rosszindulatú megsemmisítés/jelszó kompromittálás elleni védelem (MFA/négy szem elve)	❌	❌	✅ (Törléshez kettős jóváhagyás szükséges)

QNAP Marketing Team

Was this article helpful?

If you want to provide additional feedback, please include it below.

The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection
- What is a snapshot?
Technical Principle: Operation and Trade-offs of COW and ROW
- 1. Copy-On-Write (COW)
- 2. Redirect-On-Write (ROW) during writing
How do snapshots defend against ransomware? From passive restore to proactive detection
- Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)
- Key Two: Instant restore (Instant Recovery)
- Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector
Advanced Protection: Immutable Snapshots and Management Principles
- Immutable Snapshots / WORM
- The last line of defense at the management layer: MFA and the four-eyes principle
- Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.

A zsarolóvírusok „időgépe”: pillanatkép-technológia alapelvei, támadás és védekezés, valamint a védelem kulcsfogalmai
- Mi az a pillanatkép?
Technikai elv: COW és ROW működése és kompromisszumai
- 1. Copy-On-Write (COW)
- 2. Redirect-On-Write (ROW) írás közben
Hogyan védenek a pillanatképek a zsarolóvírusok ellen? Passzív visszaállítástól proaktív detektálásig
- Kulcs 1: OS-szintű támadások megkerülése (VSS vs. tároló pillanatkép)
- Kulcs 2: Azonnali visszaállítás (Instant Recovery)
- Kulcs 3: AI entrópia detektálás, az idő-of-flight kamerából detektor lesz
Fejlett védelem: módosíthatatlan pillanatképek és menedzsment elvek
- Módosíthatatlan pillanatképek / WORM
- Az utolsó védelmi vonal a menedzsment rétegben: MFA és a négy szem elve
- A pillanatképek nem mentések, és nem oldják meg a „dupla zsarolóvírus” problémát

Hogyan védik az adatok biztonságát a pillanatképek, és hogyan ellenállnak a zsarolóvírusoknak

The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection

What is a snapshot?

Comparison table of space and time costs between snapshots and traditional backups

Technical Principle: Operation and Trade-offs of COW and ROW

1. Copy-On-Write (COW)

2. Redirect-On-Write (ROW) during writing

How do snapshots defend against ransomware? From passive restore to proactive detection

Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)

Key Two: Instant restore (Instant Recovery)

Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector

Advanced Protection: Immutable Snapshots and Management Principles

Immutable Snapshots / WORM

The last line of defense at the management layer: MFA and the four-eyes principle

Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.

Snapshot Protection Capability Grading Checklist

A zsarolóvírusok „időgépe”: pillanatkép-technológia alapelvei, támadás és védekezés, valamint a védelem kulcsfogalmai

Mi az a pillanatkép?

Pillanatképek és hagyományos mentések hely- és időigényének összehasonlító táblázata

Technikai elv: COW és ROW működése és kompromisszumai

1. Copy-On-Write (COW)

2. Redirect-On-Write (ROW) írás közben

Hogyan védenek a pillanatképek a zsarolóvírusok ellen? Passzív visszaállítástól proaktív detektálásig

Kulcs 1: OS-szintű támadások megkerülése (VSS vs. tároló pillanatkép)

Kulcs 2: Azonnali visszaállítás (Instant Recovery)

Kulcs 3: AI entrópia detektálás, az idő-of-flight kamerából detektor lesz

Fejlett védelem: módosíthatatlan pillanatképek és menedzsment elvek

Módosíthatatlan pillanatképek / WORM

Az utolsó védelmi vonal a menedzsment rétegben: MFA és a négy szem elve

A pillanatképek nem mentések, és nem oldják meg a „dupla zsarolóvírus” problémát

Pillanatkép-védelmi képesség minősítési ellenőrzőlista

Table of Contents

Related Posts