Tech Pulse

Artigos mais recentes 2026-03-19

7 mins de leitura

Guia de Sobrevivência a Ransomware: Por que 'Imutabilidade' e 'Backup Offline' são a última linha de defesa para empresas em 2026?

Este conteúdo foi traduzido automaticamente. Consulte a Limitação de Responsabilidade da tradução automática.

On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.

With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.

In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.

When backup software becomes an attack surface

According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.

In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.

Core Technology One: Immutable Snapshots

What is "immutability"?

Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.

In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.

Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)

Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.

Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.

In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.

From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice

After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.

The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).

When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.

In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.

This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.

The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.

QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.

In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.

In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.

Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule

The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?

That is, in an information environment, you should have at least:

3 copies of data.

2 different storage media.

1 copy to be stored off-site (Offsite).

1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.

0 errors (automated verification ensures backup is readable and restorable).

Trust is good, but verification and locking are more important

As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.

Neste dia em 2026, precisamos reconhecer uma dura realidade: "backups" deixaram de ser um refúgio seguro para a cibersegurança e se tornaram o principal alvo de ataques de hackers.

Com a transformação da IA generativa (GenAI) em arma, o ransomware moderno (Ransomware 3.0) está demonstrando uma inteligência tática sem precedentes. Embora o tempo de permanência na rede seja menor, seu poder destrutivo se multiplicou. Os hackers não se limitam mais a criptografar seu ambiente de produção; agora priorizam localizar e excluir sistemas de backup, apagar snapshots e até mesmo corromper dados de backup, deixando as empresas em uma situação desesperadora, sem saída.

Diante dessas ameaças, as estratégias tradicionais de backup tornaram-se obsoletas. Este artigo irá aprofundar-se nos dois principais pilares para construir uma resiliência cibernética moderna: Snapshots Imutáveis e Backups Fisicamente/Logicamente Isolados (Air-Gapped).

Quando o software de backup se torna uma superfície de ataque

De acordo com o mais recente relatório de ameaças do mercado, mais de 90% dos ataques de ransomware tentam destruir repositórios de backup. Isso levou o mercado de armazenamento e cibersegurança a mudar seus paradigmas técnicos, passando da tradicional questão de RTO "Quanto tempo levaremos para recuperar?" para "Temos certeza de que nossos dados ainda existem?" Isso porque os sistemas de armazenamento estão cada vez mais focados em segurança—não são mais apenas repositórios simples de dados, mas pontos críticos de defesa com mecanismos integrados de detecção e prevenção de ransomware. Por outro lado, exigências relacionadas ao seguro de rede (Cyber Insurance) já começaram a listar "backups imutáveis" como pré-requisito para subscrição ou liquidação de sinistros.

Na era de IA contra IA, mesmo que as defesas tradicionais de perímetro (Firewall/EDR) bloqueiem 99% dos ataques, o 1% restante ainda pode ser fatal. Portanto, dados de backup "imutáveis" são a principal vantagem para as empresas recusarem o pagamento de resgates na mesa de negociação.

Tecnologia Central Um: Snapshots Imutáveis

O que é "imutabilidade"?

Simplificando, significa "escrever uma vez, ler várias" (WORM - Write Once, Read Many). Uma vez que os dados são gravados e bloqueados, dentro do período de retenção definido, ninguém—incluindo membros da administração do sistema, proprietários de permissões Root ou até mesmo o próprio software QES—pode modificar ou excluir esses dados.

Nos últimos anos, devido à ampla adoção do Object Lock, o Object Lock baseado na API S3 tornou-se o padrão para objetos de armazenamento em nuvem e locais. Muitos modelos modernos de arrays de armazenamento de alta velocidade (All-Flash Arrays) agora integram esse recurso diretamente na camada subjacente, eliminando a necessidade de camadas adicionais de software. Além disso, o ambiente de informação introduziu a exclusão reforçada por autenticação multifator (MFA). Mesmo que um hacker obtenha credenciais de administrador e queira modificar a política de imutabilidade ou excluir snapshots à força, o sistema acionará o "princípio dos quatro olhos", exigindo múltiplas pessoas e múltiplos fatores de licença antes que a aprovação seja concedida. Isso garante a característica de dados não deletáveis.

Núcleo Técnico II: Isolamento Físico e Lógico (Backups Air-Gapped, Backup com Isolamento Airgap)

O Air-Gap tradicional e o moderno já são muito diferentes. No passado, pensávamos em Air-Gap como remover a fita e trancá-la em um cofre. Embora isso seja eficaz, a velocidade de recuperação (RTO) é muito lenta e não atende às exigências dos negócios modernos. No entanto, ainda pode servir como um nó de backup externo e, em caso de interrupção da rede e impossibilidade de recuperação, atuar como a última linha de defesa.

O moderno "air-gap virtual" refere-se mais ao isolamento lógico e ao bloqueio na camada de rede, incluindo redes não roteáveis (Non-routable Networks). Podemos armazenar backups em um segmento de rede completamente isolado do ambiente de produção, e apenas durante o horário agendado de backup um canal seguro específico será aberto para transferir dados para backup. Assim que o backup for concluído, esse canal seguro específico é imediatamente fechado, de modo que hackers não conseguem acessar essa área de backup dourada isolada e inalcançável.

Além disso, as empresas também implementam um ambiente de recuperação isolado (Cleanroom Recovery), usando recursos em nuvem para estabelecer uma área limpa e segura separada. Antes de restaurar os dados de backup para o ambiente de produção, a varredura e identificação por IA são realizadas primeiro na área segura para garantir que não haja softwares maliciosos ocultos.

De "Desconexão Manual" para "Isolamento Inteligente": A evolução da tecnologia Airgap+ na prática

Após entender a teoria por trás do air-gapping, o desafio prático mais comum enfrentado pelas empresas é: "Os funcionários de TI realmente precisam ir à sala de servidores todos os dias para conectar e desconectar cabos de rede?" Em uma era de mão de obra enxuta, isso é claramente inviável. Por isso, uma nova geração de tecnologia de proteção de backup introduziu o conceito de "Active Air-Gap", como a tecnologia Airgap+ da QNAP, que automatiza e torna esse conceito inteligente.

A lógica central dessa tecnologia reside no conceito de "Desconectado por padrão". Diferente dos firewalls tradicionais que dependem apenas de software baseado em regras para bloquear o tráfego, o Airgap+ moderno integra o software de backup (como HBS 3) com a camada de controle da unidade de rede (Roteador ou Switch). Somente no momento em que uma tarefa de backup é iniciada, o sistema envia um comando para "acordar" a interface de rede específica (Link Up); assim que a transmissão de dados é concluída, a interface de rede é imediatamente desligada na camada física ou lógica (Link Down).

Ao configurar o backup HBS e selecionar a unidade NAS remota, você pode ativar convenientemente o servidor RTRR. Role a página para baixo para encontrar a opção Airgap+.

Na imagem, você pode ver que selecionamos um Switch QNAP compatível com Airgap+. Neste caso, escolhemos o QSW-M3224-24T. É possível ver que a velocidade real de teste neste caso atingiu 1,02GB por segundo. O ambiente entre os dois dispositivos está conectado via rede 10GbE, o que torna a sincronização do backup muito mais eficiente.

Esse design cria uma "janela de tempo" difícil de ser atravessada por hackers, pois durante 99% do tempo, o servidor de backup está completamente invisível na rede (Invisible), tornando-o indetectável por ferramentas de varredura e inalcançável por softwares de ransomware. Usando um roteador QNAP ou um switch QNAP compatível, você pode implantar essa versão aprimorada do Airgap+ com ainda maior isolamento de segurança.

A unidade NAS protegida será marcada como protegida no HBS 3. Mesmo que você tente conectar a esse endereço IP, o sistema não terá sucesso, pois ele está oculto ou bloqueado pelo Switch ou Roteador.

A unidade QNAP NAS protegida pelo Airgap+ não ficará visível na rede interna. Como mostrado nas duas imagens abaixo, nem mesmo o Qfinder Pro da QNAP consegue encontrar esse NAS após o sistema de backup ter estabelecido o mecanismo Airgap+.

Além disso, para ambientes com altos requisitos de segurança, uma arquitetura avançada pode até adotar o "Bridge Mode", o que significa que podemos adicionar uma unidade intermediária (Bridge NAS) que não armazena dados entre o ambiente de produção e o cofre de backup. O servidor de produção só pode acessar a unidade intermediária, enquanto o cofre de backup real fica oculto atrás da unidade intermediária, formando uma "defesa em profundidade" que isola a área central de backup. Mesmo que o ambiente de produção seja completamente comprometido, os invasores ainda não conseguem encontrar um caminho digital para o núcleo do backup, o que aumenta significativamente a segurança final dos dados do domínio de backup.

Nesse ambiente, a interface do switch QNAP QSW-M3224-24T exibe imediatamente que a unidade NAS TS-855X está conectada às portas 17, 19 e 23, todas mostradas como desconectadas.

Estratégia prática: Atualize a regra de backup 3-2-1 para a regra 3-2-1-1-0

A antiga "regra 3-2-1" (3 cópias, 2 tipos de mídia, 1 fora do local) mostrou-se insuficiente diante de ataques direcionados. Muitas empresas, ao implementar ambientes de informação e rede, já começaram a promover a atualização organizacional para a "regra 3-2-1-1-0". O que é isso?

Ou seja, em um ambiente de informação, você deve ter pelo menos:

3 cópias dos dados.

2 mídias de armazenamento diferentes.

1 cópia armazenada fora do local (Offsite).

1 cópia offline ou imutável (Offline / Imutável), que atualmente é um foco importante no mercado.

0 erros (verificação automatizada garante que o backup seja legível e restaurável).

Confiar é bom, mas verificar e bloquear é mais importante

À medida que o cenário global de cibersegurança se torna cada vez mais nebuloso, a verificação de identidade pode ser roubada e vulnerabilidades podem ser exploradas por ataques de dia zero (Zero-day). Apenas Snapshots Imutáveis e Backups Air-Gap fornecem a nova geração de cofres digitais de ouro, garantindo que, em uma era de ransomware desenfreado, os dados centrais da empresa permaneçam intactos e ilesos.

QNAP Marketing Team

Este artigo foi útil?

Se quiser enviar outros comentários, escreva-os abaixo.

Sumário

Quando o software de backup se torna uma superfície de ataque
- Tecnologia Central Um: Snapshots Imutáveis
- Núcleo Técnico II: Isolamento Físico e Lógico (Backups Air-Gapped, Backup com Isolamento Airgap)
De "Desconexão Manual" para "Isolamento Inteligente": A evolução da tecnologia Airgap+ na prática
Estratégia prática: Atualize a regra de backup 3-2-1 para a regra 3-2-1-1-0
Confiar é bom, mas verificar e bloquear é mais importante