Como os dados são protegidos por snapshots e resistem a ransomware

The 'time machine' of ransomware: Snapshot technology principles, attack and defense, and key concepts of protection

In the battlefield of enterprise cybersecurity defense, ransomware (Ransomware) has undoubtedly become the most troublesome adversary in recent years. When hackers encrypt your critical data and demand a huge ransom, traditional "backup restore" often results in excessive downtime (high RTO), causing severe business interruption and losses.

At this time, a storage-level technology called "Snapshot" has become the last line of defense against ransomware for many businesses and individual users, and is even referred to as the "time machine" for data recovery.

So what exactly is a snapshot? How can it instantly "restore" encrypted files? Besides passive restore, what proactive detection capabilities does modern snapshot technology offer? This article will delve into the underlying principles and key management aspects of snapshots.

What is a snapshot?

Simply put, a snapshot is a record of the state of a file system or storageunit at a “specific point in time.” It is important to clarify that a snapshot does not “make another copy” of the data, but rather records the version state of every file, directory, and block mapping relationship (Metadata, Block map) in the file system at that moment.

Many people mistakenly think that a snapshot is a “backup,” but in fact, the two are fundamentally different in terms of technical principles:

• Backup: creates a complete copy of the data to another physical Storage Space (a full copy).
• Snapshot: is more like taking a “photo” of the current data structure. It usually only records the pointers or metadata of the data, rather than duplicating the data itself.

Simply put, when we back up 100 gigabyte photos in hard disk drives, making 10 backups will consume 1TB of space. But when we use snapshot technology, under “normal usage scenarios,” keeping 10 snapshots usually only takes up an extra 1%–20% of space (about 1–20 GB), which is a huge efficiency difference.

Comparison table of space and time costs between snapshots and traditional backups

Chart Help: This table simulates an environment where an initial 100GB data changes by 10GB each day over two days. You can see that traditional backups duplicate the entire data each time, resulting in linear and multiplied space consumption. In contrast, snapshots only record the changed blocks, so space growth is extremely slow. This explains why businesses can easily retain hundreds of snapshot time points.

Technical Principle: Operation and Trade-offs of COW and ROW

Currently, the mainstream snapshot technologies are mainly divided into two types, each with its own advantages in terms of efficiency and space utilization:

1. Copy-On-Write (COW)

When the original data needs to be modified, the system will first pause the write operation, copy the “old data block” to the snapshot reserved area, and then allow the new data to be written in the original location.

Advantage: Reading the original data is very fast because the data location has not changed. Disadvantage: Write performance is relatively poor (because each write operation requires "read old data -> copy -> write new data"), which is known as the "write penalty (Write Penalty)".

2. Redirect-On-Write (ROW) during writing

This is a common approach used in modern high-efficiency storage (such as the ZFS file system and mid-to-high-end NAS). When new data is written, the system does not move the old blocks, but instead writes the new data directly to a “new location” on the hard disk drives, and updates the pointer to the new location, while the snapshot continues to retain the pointer to the old blocks.

Advantage: Creating snapshots and writing data has almost no impact on performance, and the speed is extremely fast. Cost: Fragmentation. This is a physical limitation that ROW technology must face. Due to the data blocks of files being scattered across different physical locations in hard disk drives after multiple modifications, over time this may lead to decreased read performance of traditional hard disk drives (HDD). Therefore, for storage systems using ROW technology, it is generally recommended to pair with an all-flash architecture (All-Flash) or a robust background auto-reorganization mechanism to mitigate this impact.

How do snapshots defend against ransomware? From passive restore to proactive detection

The standard operating procedure for ransomware software is: read file → encrypt → delete original file → leave behind the encrypted, scrambled file. In response to this process, QuicKProtect provides multiple layers of defense mechanisms.

Key 1: Bypassing OS-level attacks (VSS vs. Storage Snapshot)

Speaking of snapshots, we must also distinguish between "operating system-level" and "storageunit level." The first action of modern ransomware (such as LockBit, BlackCat) after infiltrating Windows is often to execute commands to delete VSS (Volume Shadow Copy), preventing users from utilizing the built-in restore feature of Windows. At this point, snapshots at the storageunit level play the most critical role.

Because NAS or SAN snapshot management is independent of the operating system (Out-of-Band), even if a hacker obtains Administrator Permission of Windows and wipes out local snapshots, they still cannot delete the underlying snapshots on storageunit through commands.

Key Two: Instant restore (Instant Recovery)

Because snapshots preserve the 'point-in-time state' of files before they are encrypted, when ransomware is detected, administrators only need to select a time point before the infection (for example, if the infection occurred at 10:00, select the 09:55 snapshot) in the management interface of storageunit.

At this point, whether the data size is 1TB or 100TB, using snapshot restore usually only takes a few seconds to a few minutes. The system just needs to point the index back to the old blocks, which greatly reduces the Recovery Time Objective (RTO).

Key Three: AI Entropy Detection, transforming from a time-of-flight camera to a detector

Traditional snapshots are passive, but the latest storage technology is using snapshots for “proactive defense.” When ransomware encrypts files, it causes the “entropy” (randomness) of data blocks to spike dramatically (after encryption, data appears as random data).

Modern storageunit will monitor the entropy changes of write blocks in real time. If a large number of blocks show abnormal spikes in entropy along with high-frequency writes, the system will determine that an attack is occurring and will automatically trigger immutable snapshots, or even proactively cut off write Permission to the connection (SMB/NFS).

In addition, if the system itself provides appropriate mechanisms, you can also monitor suspicious file operations through Security Center (file activity monitoring). Once an anomaly is detected, protection measures can be triggered, such as setting the volume to read-only, automatically creating snapshots, or temporarily suspending the snapshot schedule, to prevent data encryption or data loss.

Advanced Protection: Immutable Snapshots and Management Principles

As cybersecurity attacks evolve, hackers not only encrypt data, but also attempt to compromise storageunit administrators Permission to quickly destroy snapshots. To counter this kind of 'cut-off' attack, it is necessary to implement the following stricter locking mechanisms.

Immutable Snapshots / WORM

This is a “Write Once, Read Many” technology. Once an immutable snapshot is set (for example, locked for 7 days), during this period, no one (including Administrators or Root accounts with the highest Permission) can delete or modify these snapshots. It’s like locking the film in a time-locked safe.

The last line of defense at the management layer: MFA and the four-eyes principle

No matter how strong the technology, human nature is often the weak point. What if a hacker obtains the highest Permission password through social engineering? The new generation of information security compliance requirements (such as the revised ISO 27001) recommend implementing the following measures:

Multi-factor Authentication (MFA): When logging into the storage management interface or performing deletion operations, mobile OTP two-step verification is mandatory. Using Google Authenticator or Microsoft Authenticator has become standard practice. Similar confirmations are also required for critical actions in systems and services such as ZOHO and Cloudflare DNS. Administrators should be accustomed to and routinely deploy these measures in daily system operations. Four-Eyes Principle (Four-Eyes Principle): For destructive commands such as "Delete Snapshot" or "Format", the system should be configured to require simultaneous License execution by "two" different admin accounts. This can effectively prevent a single account from being compromised or maliciously abused by insiders.

Snapshots are not the same as backups and cannot solve the issue of “double ransomware”.

Although Quick Photo is extremely powerful on ransomware prevention software, and it is also very useful when colleagues in the office call the administrator or IT staff to rescue them from accidental deletion or system damagedata, we still need to clarify the actual perceptions in the market:

The first point is that snapshots cannot completely replace backups, as snapshots still rely on the original storageunit. If the entire NAS hardware fails or hard disk drives is damaged, the snapshots will also be lost. When implementing storage environments for enterprises or home use, we should always follow the 3-2-1 backup principle (3 copies of data, 2 different media, 1 offsite), and preferably prepare an extra NAS to back up your NAS or storageunit. In addition, you can purchase tape drives, external hard disk drives, and other devices for backup, as well as cloud and offsite backups, etc. Through Hybrid Backup Sync 3, you can achieve multi-layered backups, including air-gapped backups. In today's world where threats are increasing, the 3-2-1 backup principle remains a golden rule.

The second point is that snapshots can save data, but they cannot save confidential information. Although snapshots solve the issue of "data availability (Availability)" and allow you to recover your files, the current trend of "Double Extortion" means that hackers will first steal your sensitive data and then encrypt it. Even if you use snapshots to quickly restore restore and data, hackers can still threaten to expose your customer data. Therefore, snapshots must be paired with DLP (Data Loss Prevention for data leakage protection) and Networking encrypted transmission to form a complete data security strategy.

Snapshot Protection Capability Grading Checklist

A 'máquina do tempo' do ransomware: Princípios da tecnologia de snapshot, ataque e defesa, e conceitos-chave de proteção

No campo de batalha da defesa cibernética corporativa, o ransomware (Ransomware) tornou-se, sem dúvida, o adversário mais problemático nos últimos anos. Quando hackers criptografam seus dados críticos e exigem um resgate elevado, a tradicional "restauração de backup" geralmente resulta em um tempo de inatividade excessivo (alto RTO), causando sérias interrupções e prejuízos ao negócio.

Nesse momento, uma tecnologia em nível de armazenamento chamada "Snapshot" tornou-se a última linha de defesa contra ransomware para muitas empresas e usuários individuais, sendo até chamada de "máquina do tempo" para recuperação de dados.

Afinal, o que é exatamente um snapshot? Como ele pode "restaurar" instantaneamente arquivos criptografados? Além da restauração passiva, que capacidades de detecção proativa a tecnologia moderna de snapshot oferece? Este artigo irá aprofundar os princípios fundamentais e os principais aspectos de gerenciamento dos snapshots.

O que é um snapshot?

Simplificando, um snapshot é um registro do estado de um sistema de arquivos ou unidade de armazenamento em um "determinado ponto no tempo". É importante esclarecer que um snapshot não "faz outra cópia" dos dados, mas sim registra o estado da versão de cada arquivo, diretório e o relacionamento de mapeamento de blocos (Metadados, Block map) no sistema de arquivos naquele momento.

Muitas pessoas confundem snapshot com "backup", mas, na verdade, os dois são fundamentalmente diferentes em termos de princípios técnicos:

• Backup: cria uma cópia completa dos dados em outro espaço físico de armazenamento (uma cópia integral).
• Snapshot: é mais parecido com tirar uma "foto" da estrutura atual dos dados. Normalmente, ele registra apenas os ponteiros ou metadados dos dados, em vez de duplicar os dados em si.

Resumindo, ao fazermos backup de 100 gigabytes de fotos em discos rígidos, criar 10 backups consumirá 1TB de espaço. Mas ao usarmos a tecnologia de snapshot, em "cenários normais de uso", manter 10 snapshots geralmente ocupa apenas 1% a 20% de espaço extra (cerca de 1 a 20 GB), o que representa uma diferença enorme de eficiência.

Tabela comparativa de custos de espaço e tempo entre snapshots e backups tradicionais

Ajuda do Gráfico: Esta tabela simula um ambiente onde 100GB de dados iniciais sofrem alterações de 10GB por dia durante dois dias. É possível ver que os backups tradicionais duplicam todos os dados a cada vez, resultando em consumo de espaço linear e multiplicado. Em contraste, os snapshots registram apenas os blocos alterados, então o crescimento do espaço é extremamente lento. Isso explica por que as empresas conseguem manter facilmente centenas de pontos de snapshot.

Princípio Técnico: Operação e trade-offs de COW e ROW

Atualmente, as tecnologias de snapshot mais utilizadas se dividem em dois tipos, cada uma com suas vantagens em termos de eficiência e uso de espaço:

1. Copy-On-Write (COW)

Quando os dados originais precisam ser modificados, o sistema primeiro pausa a operação de escrita, copia o "bloco de dados antigo" para a área reservada do snapshot e só então permite que os novos dados sejam gravados no local original.

Vantagem: A leitura dos dados originais é muito rápida, pois a localização dos dados não mudou. Desvantagem: O desempenho de escrita é relativamente baixo (pois cada operação de escrita exige "ler dados antigos -> copiar -> gravar dados novos"), o que é conhecido como "penalidade de escrita (Write Penalty)".

2. Redirect-On-Write (ROW) durante a escrita

Esta é uma abordagem comum em sistemas de armazenamento modernos de alta eficiência (como o sistema de arquivos ZFS e NAS de médio a alto padrão). Quando novos dados são gravados, o sistema não move os blocos antigos, mas grava os novos dados diretamente em um "novo local" nos discos rígidos, atualizando o ponteiro para o novo local, enquanto o snapshot mantém o ponteiro para os blocos antigos.

Vantagem: Criar snapshots e gravar dados praticamente não afeta o desempenho, e a velocidade é extremamente rápida.

Custo: Fragmentação. Esta é uma limitação física que a tecnologia ROW precisa enfrentar. Devido ao espalhamento dos blocos de dados dos arquivos em diferentes locais físicos nos discos rígidos após múltiplas modificações, com o tempo isso pode levar à queda de desempenho de leitura em discos rígidos tradicionais (HDD). Portanto, para sistemas de armazenamento que usam ROW, geralmente recomenda-se combinar com uma arquitetura all-flash (All-Flash) ou um mecanismo robusto de auto-reorganização em segundo plano para mitigar esse impacto.

Como os snapshots defendem contra ransomware? Da restauração passiva à detecção proativa

O procedimento padrão de operação do ransomware é: ler arquivo → criptografar → excluir arquivo original → deixar o arquivo criptografado embaralhado. Em resposta a esse processo, o QuicKProtect oferece múltiplas camadas de mecanismos de defesa.

Chave 1: Contornando ataques em nível de SO (VSS vs. Snapshot de armazenamento)

Ao falar de snapshots, também é preciso diferenciar entre "nível de sistema operacional" e "nível de unidade de armazenamento". A primeira ação do ransomware moderno (como LockBit, BlackCat) ao invadir o Windows é geralmente executar comandos para excluir o VSS (Volume Shadow Copy), impedindo que o usuário utilize o recurso de restauração nativo do Windows. Nesse momento, os snapshots em nível de unidade de armazenamento desempenham o papel mais crítico.

Como o gerenciamento de snapshots em NAS ou SAN é independente do sistema operacional (Out-of-Band), mesmo que um hacker obtenha Permissão de Administrador do Windows e apague os snapshots locais, ele ainda não conseguirá excluir os snapshots subjacentes na unidade de armazenamento por comandos.

Chave Dois: Restauração instantânea (Instant Recovery)

Como os snapshots preservam o 'estado do ponto no tempo' dos arquivos antes de serem criptografados, ao detectar ransomware, os administradores só precisam selecionar um ponto anterior à infecção (por exemplo, se a infecção ocorreu às 10:00, selecionar o snapshot das 09:55) na interface de gerenciamento da unidade de armazenamento.

Nesse momento, independentemente do tamanho dos dados ser 1TB ou 100TB, usar a restauração por snapshot geralmente leva apenas alguns segundos a poucos minutos. O sistema só precisa apontar o índice de volta para os blocos antigos, o que reduz drasticamente o Recovery Time Objective (RTO).

Chave Três: Detecção de Entropia por IA, transformando de uma câmera de tempo de voo para um detector

Os snapshots tradicionais são passivos, mas a tecnologia de armazenamento mais recente está usando snapshots para "defesa proativa". Quando o ransomware criptografa arquivos, isso faz com que a "entropia" (aleatoriedade) dos blocos de dados aumente drasticamente (após a criptografia, os dados parecem aleatórios).

Unidades de armazenamento modernas monitoram em tempo real as mudanças de entropia dos blocos gravados. Se muitos blocos apresentarem picos anormais de entropia junto com gravações de alta frequência, o sistema determina que está ocorrendo um ataque e aciona automaticamente snapshots imutáveis, ou até corta proativamente a Permissão de gravação da conexão (SMB/NFS).

Além disso, se o próprio sistema fornecer mecanismos adequados, também é possível monitorar operações suspeitas de arquivos pelo Security Center (monitoramento de atividade de arquivos). Ao detectar uma anomalia, medidas de proteção podem ser acionadas, como definir o volume como somente leitura, criar snapshots automaticamente ou suspender temporariamente a agenda de snapshots, para evitar criptografia ou perda de dados.

Proteção Avançada: Snapshots Imutáveis e Princípios de Gerenciamento

Com a evolução dos ataques cibernéticos, hackers não apenas criptografam dados, mas também tentam comprometer a Permissão de administradores da unidade de armazenamento para destruir rapidamente os snapshots. Para combater esse tipo de ataque de 'corte', é necessário implementar os seguintes mecanismos de bloqueio mais rigorosos.

Snapshots Imutáveis / WORM

Esta é uma tecnologia "Write Once, Read Many". Uma vez definido um snapshot imutável (por exemplo, bloqueado por 7 dias), durante esse período, ninguém (nem mesmo administradores ou contas Root com a mais alta Permissão) pode excluir ou modificar esses snapshots. É como trancar o filme em um cofre com temporizador.

A última linha de defesa na camada de gerenciamento: MFA e o princípio dos quatro olhos

Por mais forte que seja a tecnologia, a natureza humana costuma ser o elo fraco. E se um hacker obtiver a senha de Permissão máxima por engenharia social? Os novos requisitos de conformidade em segurança da informação (como a revisão da ISO 27001) recomendam as seguintes medidas:

Autenticação Multifator (MFA): Ao acessar a interface de gerenciamento de armazenamento ou realizar operações de exclusão, a verificação em duas etapas por OTP no celular é obrigatória. Usar Google Authenticator ou Microsoft Authenticator tornou-se prática padrão. Confirmações semelhantes também são exigidas para ações críticas em sistemas e serviços como ZOHO e Cloudflare DNS. Administradores devem se acostumar e adotar essas medidas rotineiramente nas operações diárias do sistema. Princípio dos Quatro Olhos (Four-Eyes Principle): Para comandos destrutivos como "Excluir Snapshot" ou "Formatar", o sistema deve ser configurado para exigir execução simultânea por "dois" administradores diferentes. Isso previne que uma única conta seja comprometida ou abusada maliciosamente por insiders.

Snapshots não são backups e não resolvem o problema do "duplo ransomware".

Embora o Quick Photo seja extremamente poderoso na prevenção de ransomware, e também muito útil quando colegas do escritório ligam para o administrador ou equipe de TI para resgatá-los de exclusão acidental ou danos ao sistema, ainda precisamos esclarecer as percepções reais do mercado:

O primeiro ponto é que snapshots não substituem completamente os backups, pois ainda dependem da unidade de armazenamento original. Se todo o hardware do NAS falhar ou o disco rígido for danificado, os snapshots também serão perdidos. Ao implementar ambientes de armazenamento para empresas ou uso doméstico, sempre devemos seguir o princípio do backup 3-2-1 (3 cópias dos dados, 2 mídias diferentes, 1 fora do local), e de preferência preparar um NAS extra para fazer backup do seu NAS ou unidade de armazenamento. Além disso, é possível adquirir unidades de fita, discos rígidos externos e outros dispositivos para backup, bem como backups em nuvem e fora do local, etc. Com o Hybrid Backup Sync 3, é possível realizar backups em múltiplas camadas, incluindo backups air-gap. No cenário atual de ameaças crescentes, o princípio 3-2-1 de backup continua sendo uma regra de ouro.

O segundo ponto é que snapshots podem salvar dados, mas não informações confidenciais. Embora snapshots resolvam a questão da "disponibilidade dos dados (Availability)" e permitam recuperar seus arquivos, a tendência atual do "Duplo Sequestro" significa que hackers primeiro roubam seus dados sensíveis e só depois criptografam. Mesmo que você use snapshots para restaurar rapidamente os dados, os hackers ainda podem ameaçar expor os dados dos seus clientes. Portanto, snapshots devem ser combinados com DLP (Data Loss Prevention para proteção contra vazamento de dados) e transmissão de rede criptografada para formar uma estratégia completa de segurança de dados.

Checklist de Classificação de Capacidade de Proteção por Snapshot