On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.
With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.
In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.
When backup software becomes an attack surface
According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.
In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.
Core Technology One: Immutable Snapshots
What is "immutability"?
Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.
In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.
Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)
Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.
Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.
In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.
From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice
After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.
The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).
When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.
In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.
This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.
The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.
QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.
In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.
In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.
Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule
The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?
That is, in an information environment, you should have at least:
3 copies of data.
2 different storage media.
1 copy to be stored off-site (Offsite).
1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.
0 errors (automated verification ensures backup is readable and restorable).
Trust is good, but verification and locking are more important
As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.
In questo giorno del 2026, dobbiamo riconoscere una dura realtà: i "backup" non sono più un rifugio sicuro per la cybersecurity, ma sono diventati il bersaglio principale degli attacchi hacker.
Con la strumentalizzazione dell'Intelligenza Artificiale Generativa (GenAI), il ransomware moderno (Ransomware 3.0) sta dimostrando un'intelligenza tattica senza precedenti. Sebbene il tempo di permanenza nella rete sia più breve, la sua potenza distruttiva si è moltiplicata. Gli hacker non si limitano più a criptare l'ambiente di produzione; ora danno priorità alla ricerca e cancellazione dei sistemi di backup, eliminando snapshot e persino avvelenando i dati di backup, lasciando le aziende in una situazione disperata senza via d'uscita.
Di fronte a tali minacce, le strategie di backup tradizionali sono diventate obsolete. Questo articolo approfondirà i due pilastri principali per costruire una moderna resilienza informatica: Snapshot Immutabili e Backup Air-Gap Fisici/Logici.
Quando il software di backup diventa una superficie di attacco
Secondo l'ultimo rapporto sulle minacce di mercato, oltre il 90% degli attacchi ransomware tenta di distruggere i repository di backup. Questo ha spinto il mercato dello storage e della cybersecurity a cambiare paradigma tecnico, passando dalla tradizionale domanda RTO "Quanto tempo ci vorrà per recuperare?" a "Siamo sicuri che i nostri dati esistano ancora?". Questo perché i sistemi di storage stanno diventando sempre più orientati alla sicurezza—non sono più semplici repository di dati, ma punti critici di difesa con meccanismi integrati di rilevamento e prevenzione ransomware. D'altra parte, i requisiti relativi all'assicurazione Networking (Cyber Insurance) hanno già iniziato a includere i "backup immutabili" come prerequisito per la sottoscrizione o la liquidazione dei sinistri.
Nell'era dell'AI contro AI, anche se le difese perimetrali tradizionali (Firewall/EDR) bloccano il 99% degli attacchi, il restante 1% può comunque essere fatale. Pertanto, i dati di backup "immutabili" sono il vantaggio chiave per le aziende per rifiutare di pagare riscatti al tavolo delle trattative.
Tecnologia Core One: Snapshot Immutabili
Cos'è l'"immutabilità"?
In parole semplici, significa "scrivi una volta, leggi molte" (WORM - Write Once, Read Many). Una volta che i dati sono scritti e bloccati, durante il periodo di conservazione impostato, nessuno—compresi i membri della gestione di sistema, i possessori dei permessi Root o persino il software QES stesso—può modificare o cancellare questi dati.
Negli ultimi anni, grazie all'adozione diffusa di Object Lock, Object Lock basato su API S3 è diventato lo standard per gli oggetti di storage cloud e on-premises. Molti moderni array di storage ad alta velocità (All-Flash Arrays) ora integrano questa funzione direttamente a livello di base, eliminando la necessità di ulteriori layer software. Inoltre, l'ambiente informativo ha introdotto la cancellazione con autenticazione multifattore (MFA). Anche se un hacker ottiene le credenziali di amministratore e vuole modificare la policy di immutabilità o cancellare forzatamente gli snapshot, il sistema attiverà il "principio dei quattro occhi", richiedendo più persone e più fattori License prima che venga concessa l'approvazione. Questo garantisce la caratteristica di indelebilità dei dati.
Tecnologia Core II: Isolamento Fisico e Logico (Backup Air-Gap, Backup Isolato Airgap)
Tradizionale vs. moderno Air-Gap sono già molto diversi. In passato, pensavamo all'Air-Gap come rimuovere il nastro e metterlo in una cassetta di sicurezza. Sebbene sia efficace, la velocità di recupero (RTO) è troppo lenta e non può soddisfare le esigenze aziendali moderne. Tuttavia, può ancora servire come nodo di backup offsite e, in caso di interruzione Networking e impossibilità di recupero, agire come ultima linea di difesa.
Il moderno "air-gap virtuale" si riferisce più all'isolamento logico e al blocco del layer Networking, inclusi Networking non instradabili (Non-routable Networks). Possiamo archiviare i backup in un segmento di rete completamente isolato dall'ambiente di produzione, e solo durante il tempo programmato di backup verrà aperto un canale sicuro specifico per trasferire i dati per il backup. Una volta completato il backup, questo canale sicuro specifico viene immediatamente chiuso, così gli hacker non possono accedere a questa area di backup dorata isolata e irraggiungibile.
Inoltre, le aziende implementeranno anche un ambiente di recupero isolato (Cleanroom Recovery), utilizzando risorse cloud per creare un'area pulita e sicura separata. Prima di ripristinare i dati di backup nell'ambiente di produzione, viene effettuata una scansione e identificazione AI nell'area sicura per garantire che non ci siano software dannosi nascosti.
Da "Disconnessione Manuale" a "Isolamento Intelligente": L'evoluzione della tecnologia Airgap+ nella pratica
Dopo aver compreso la teoria dietro l'air-gapping, la sfida pratica più comune che le aziende affrontano è: "Il personale IT deve davvero andare ogni giorno in sala server per collegare e scollegare i cavi Networking?" In un'epoca di risorse umane limitate, questo è chiaramente irrealistico. Pertanto, una nuova generazione di tecnologia di protezione backup ha introdotto il concetto di "Active Air-Gap", come la tecnologia Airgap+ di QNAP, che automatizza e rende intelligente questo concetto.
La logica centrale di questa tecnologia risiede nel concetto di "Disconnesso di default". A differenza dei firewall tradizionali che si basano solo su software a regole per bloccare il traffico, il moderno Airgap+ integra il software di backup (come HBS 3) con il layer di controllo di Networkingunit (Router o Switch). Solo nel momento in cui viene avviato un task di backup il sistema invia un comando per "svegliare" l'interfaccia Networking specifica (Link Up); una volta completata la trasmissione dati, l'interfaccia Networking viene immediatamente disattivata a livello fisico o logico (Link Down).
Quando si configura il backup HBS e si seleziona l'unità NAS remota, è possibile abilitare comodamente il server RTRR. Scorrendo questa pagina si trova l'opzione Airgap+.
Nell'immagine, si vede che abbiamo selezionato uno Switch QNAP che supporta Airgap+. In questo caso, abbiamo scelto il QSW-M3224-24T. Si vede che la velocità di test effettiva in questo caso ha raggiunto 1,02GB al secondo. L'ambiente tra i due dispositivi è collegato tramite Networking 10GbE, il che rende la sincronizzazione backup molto più efficiente.
Questo design crea una "finestra temporale" difficile da attraversare per gli hacker, perché per il 99% del tempo il server di backup è completamente invisibile su Networking (Invisible), rendendolo non rilevabile dagli strumenti di scansione e irraggiungibile dal software ransomware. Utilizzando un Router QNAP o uno switch QNAP supportato, è possibile implementare questa versione aggiornata di Airgap+ con un isolamento di sicurezza ancora maggiore.
L'unità NAS protetta sarà contrassegnata come protetta in HBS 3. Anche se si tenta di collegarsi a questo indirizzo IP, il sistema non avrà successo, perché è nascosto o bloccato da Switch o Router.
L'unità NAS QNAP protetta da Airgap+ non sarà visibile sulla rete interna. Come mostrato nelle due immagini sotto, anche QNAP Qfinder Pro non riesce a trovare questo NAS dopo che il backup di sistema ha stabilito il meccanismo Airgap+.
Inoltre, per ambienti con requisiti di sicurezza elevati, un'architettura avanzata può adottare anche la "Bridge Mode", ovvero si può aggiungere un'unità ponte intermediaria (Bridge NAS) che non archivia dati tra l'ambiente di produzione e il vault di backup. Il server di produzione può accedere solo all'unità intermediaria, mentre il vault di backup reale è nascosto dietro l'unità intermediaria, formando una "difesa profonda" che isola l'area core di backup. Anche se l'ambiente di produzione viene completamente compromesso, gli attaccanti non possono comunque trovare un percorso digitale verso il core del backup, migliorando significativamente la sicurezza finale dei dati nel dominio di backup.
In questo ambiente, l'interfaccia dello switch QNAP QSW-M3224-24T mostra immediatamente che l'unità NAS TS-855X è collegata alle porte 17, 19 e 23, tutte visualizzate come disconnesse.
Strategia pratica: aggiorna la regola di backup 3-2-1 alla regola 3-2-1-1-0
La precedente "regola 3-2-1" (3 copie, 2 tipi di media, 1 offsite) si è dimostrata insufficiente di fronte ad attacchi mirati. Molte aziende, nell'implementazione di ambienti informativi e Networking, hanno già iniziato a promuovere l'aggiornamento organizzativo alla "regola 3-2-1-1-0". Cos'è?
Ovvero, in un ambiente informativo, dovresti avere almeno:
3 copie dei dati.
2 diversi media di storage.
1 copia da archiviare off-site (Offsite).
1 copia offline o immutabile (Offline / Immutable), che è attualmente un focus chiave nel mercato.
0 errori (la verifica automatizzata garantisce che il backup sia leggibile e ripristinabile).
La fiducia è buona, ma la verifica e il blocco sono più importanti
Man mano che il panorama globale della cybersecurity diventa sempre più sfumato, la verifica dell'identità può essere rubata e le vulnerabilità possono essere sfruttate da attacchi zero-day (Zero-day). Solo Snapshot Immutabili e Backup Air-Gap forniscono la nuova generazione di caveau digitali d'oro, garantendo che, in un'era di ransomware dilagante, i dati core aziendali rimangano intatti e non danneggiati.
7 min di lettura
