Tech Pulse

Bài viết mới nhất 2026-04-16

6 phút đọc

Cách phát hiện AI trên Google Drive đang định nghĩa lại an ninh dữ liệu doanh nghiệp vào năm 2026

Chia sẻ

This content is machine translated. Please see the Machine Translation Disclaimer.

Switch to English

Unstoppable mutated viruses: When cloud giants also start relying on AI

A common backup method for small and medium-sized companies is to directly synchronize a large number of project files to the cloud hard disk drives. However, if one day an employee accidentally clicks on a malicious phishing email, ransomware quietly runs in the background, encrypting all files on the computer into meaningless gibberish. Without any blocking mechanism, the synchronization software will faithfully upload these “already encrypted files,” even instantly overwriting the original good backups on the cloud, causing the company’s project core assets to be wiped out in an instant.

To address this dire situation, recently Google Drive Desktop for paid Workspace users introduced a major update: AI anomaly detection and a 25-day rollback mechanism. By monitoring file change patterns on the local device with AI models, if a sudden surge of encrypted characteristics is detected, the system will immediately “hit the brakes” and temporarily pause synchronization, notifying administrators. Combined with the 25-day rollback mechanism, users can restore files. This update reveals an important trend in modern cybersecurity: backup mechanisms are evolving, moving from simple “scheduled backups” to a multi-layered defense structure that integrates real-time detection, offline isolation, and immutable protection.

Root Cause Analysis: Why is backup not equal to being securerestore?

Many IT administrators have a misconception: "I perform regular backups, so I'm not afraid of ransomware."

However, modern ransomware attack methods have evolved into highly targeted Advanced Persistent Threats (APT). They often lurk in the system for weeks or even months before launching an attack, searching everywhere for backup servers to steal Permission. The real root of the problem lies in the "propagation of contamination" and the "passivity of defense." If there is no anomaly detection, malware will infiltrate all backup pools simultaneously. This is like a car without an active collision avoidance system, where you can only rely on airbags to reduce damage after the fact.

Solution Concept: Collaboration between proactive vehicle braking and airbags

A complete modern data protection framework must be built on the collaborative relationship between “AI anomaly detection” and “data backup and recovery”:

Defense Layer	Role Positioning	Key Indicators	Limitations
AI anomaly detection (NDR/EDR)	Active braking — cut off transmission chain	MTTD (Mean Time to Detect)	False Negative, zero-day attack
Backup and snapshot restore	Safety airbag — return to healthy state	RTO / RPO	If backup is contaminated, it becomes invalid

AI anomaly detection (determining stop loss point): Through Networking packet analysis (NDR, Network Detection and Response) or storage I/O behavior analysis, AI instantly detects abnormal encryption and massive read/write behaviors, cutting off the transmission chain.
Backup and Recovery (Determines whether recovery is possible): No matter how powerful AI becomes, there will always be gaps or zero-day vulnerabilities. Having an independent Permission and a history version that cannot be tampered with is the ultimate guarantee for restoring operations.

How QNAP products solve the issue: From file monitoring to triple-layer vertical deep protection with immutable snapshots

Although large-scale cloud services like Google have begun to introduce AI protection, when facing the complex internal data of large enterprises, relying solely on cloud-based paid backup solutions is not a long-term plan. QNAP directly integrates a similar "proactive detection" concept into the NAS operating system, and combines protection at the Networking layer and storage layer, forming a three-layer in-depth structure that allows enterprises' local data to also receive comprehensive protection.

First layer: storage layer real-time detection — Security Center Anomaly File Activity Monitoring. QNAP NAS is already equipped with functionality similar to Google Drive AI detection. Security Center proactively monitors file activities on NAS, and when it detects abnormal mass file modifications or encryption behaviors, administrators can instantly track the number of abnormal files within a specific time period via the dashboard, and customize security measures (protection / backup / interruption) to respond to ransomware, malicious software, or human error, minimizing data loss risk.

Second layer: Networking layer proactive blocking — QNAP ADRA NDR. In addition to file layer detection, ADRA NDR instantly monitors malicious traffic and lateral movement entering the internal network from the Networking encapsulation layer, providing alerts and blocking connections before ransomware attempts to spread to other unit, cutting off the transmission chain at the source.

Third Layer: Immutable Backup at the Base Layer — ZFS Snapshots and WORM. Compared to cloud hard disk drives, which only provides 25 days of file version rollback, the QNAP QuTS hero operating system based on the ZFS file system offers lightweight block-level snapshots, supports immutable snapshots and WORM (Write Once Read Many) technology. Even if a hacker obtains administrator Permission, they cannot delete or tamper with historical snapshots within the locked period, ensuring that even if the first two layers of defense are breached, the enterprise still retains a clean restore point.

Quantifying benefits and environmental considerations

According to statistics from multiple cybersecurity industry reports in 2025, the average downtime for enterprises after a ransomware attack is about 24 days, while the average recovery cost excluding ransom payments is approximately $1.53 million. The total global losses caused by ransomware are projected to rise to $74 billion by 2026. Notably, organizations with immutable backup strategies can reduce their recovery time by more than 50% compared to traditional methods.

Imagine a medium-sized manufacturing or service enterprise storing its operations data on a ZFS snapshot-supported NAS unit. One day, the company is unfortunately hit by a ransomware attack. After Security Center detects the anomaly, it automatically triggers protection measures. The IT administrator immediately logs into the system and initiates a snapshot restore. Essentially, a ZFS snapshot restore is a “block pointer redirection” operation—the system only needs to redirect the block pointers of the data set to the state at the time the snapshot was taken, rather than copying or re-downloading files one by one. Therefore, regardless of whether the data size is hundreds of gigabyte or dozens of terabyte, the restore operation itself can be completed in a very short time. In contrast, re-downloading terabyte-level data from the cloud could take days. This architectural difference is expected to significantly shorten the enterprise’s RTO (Recovery Time Objective) and greatly reduce operational losses caused by downtime.

Puts security control firmly in your hands

Google Drive's introduction of AI protection is a blessing for individual users, but it also highlights the inseparable link between “detection + restoration.” For enterprises, aside from entrusting enterprise data to a cloud space that is billed per user and limited in capacity, it is even more important to choose an enterprise-grade storage protection solution with autonomous control and deeper architecture, truly building an impregnable digital data fortress.

Virus biến thể không thể ngăn chặn: Khi các ông lớn đám mây cũng bắt đầu dựa vào AI

Một phương pháp sao lưu phổ biến của các công ty vừa và nhỏ là đồng bộ trực tiếp một lượng lớn tệp dự án lên ổ cứng đám mây. Tuy nhiên, nếu một ngày nào đó nhân viên vô tình nhấp vào email lừa đảo độc hại, mã độc tống tiền sẽ âm thầm chạy nền, mã hóa toàn bộ tệp trên máy tính thành những ký tự vô nghĩa. Nếu không có cơ chế ngăn chặn, phần mềm đồng bộ sẽ trung thành tải lên những “tệp đã bị mã hóa” này, thậm chí ghi đè ngay lập tức lên các bản sao lưu tốt trên đám mây, khiến tài sản cốt lõi của công ty bị xóa sạch chỉ trong chớp mắt.

Để giải quyết tình huống nghiêm trọng này, gần đây Google Drive Desktop cho người dùng Workspace trả phí đã giới thiệu bản cập nhật lớn: Phát hiện bất thường bằng AI và cơ chế khôi phục trong 25 ngày. Bằng cách giám sát mẫu thay đổi tệp trên thiết bị cục bộ với các mô hình AI, nếu phát hiện đột biến các đặc điểm mã hóa, hệ thống sẽ lập tức “phanh gấp” và tạm dừng đồng bộ, đồng thời thông báo cho quản trị viên. Kết hợp với cơ chế khôi phục 25 ngày, người dùng có thể phục hồi tệp. Bản cập nhật này cho thấy một xu hướng quan trọng trong an ninh mạng hiện đại: cơ chế sao lưu đang phát triển, chuyển từ “sao lưu theo lịch” đơn giản sang cấu trúc phòng thủ nhiều lớp tích hợp phát hiện theo thời gian thực, cách ly ngoại tuyến và bảo vệ bất biến.

Phân tích nguyên nhân gốc rễ: Vì sao sao lưu không đồng nghĩa với an toàn khôi phục?

Nhiều quản trị viên CNTT có quan niệm sai lầm: "Tôi sao lưu thường xuyên nên không sợ mã độc tống tiền."

Tuy nhiên, phương thức tấn công của mã độc tống tiền hiện đại đã phát triển thành các mối đe dọa dai dẳng nâng cao (APT) có mục tiêu cao. Chúng thường ẩn náu trong hệ thống hàng tuần, thậm chí hàng tháng trước khi tấn công, tìm kiếm mọi nơi máy chủ sao lưu để đánh cắp quyền truy cập. Gốc rễ thực sự của vấn đề nằm ở "sự lan truyền ô nhiễm" và "phòng thủ bị động." Nếu không có phát hiện bất thường, phần mềm độc hại sẽ xâm nhập đồng thời vào tất cả các vùng sao lưu. Điều này giống như một chiếc xe không có hệ thống tránh va chạm chủ động, bạn chỉ có thể dựa vào túi khí để giảm thiệt hại sau khi sự cố xảy ra.

Ý tưởng giải pháp: Sự phối hợp giữa phanh chủ động và túi khí

Một khung bảo vệ dữ liệu hiện đại hoàn chỉnh phải được xây dựng trên mối quan hệ hợp tác giữa “phát hiện bất thường bằng AI” và “sao lưu & khôi phục dữ liệu”:

Lớp phòng thủ	Vai trò	Chỉ số chính	Hạn chế
Phát hiện bất thường bằng AI (NDR/EDR)	Phanh chủ động — cắt đứt chuỗi truyền nhiễm	MTTD (Thời gian phát hiện trung bình)	Bỏ sót, tấn công zero-day
Sao lưu và khôi phục snapshot	Túi khí an toàn — trở về trạng thái lành mạnh	RTO / RPO	Nếu bản sao lưu bị nhiễm, sẽ mất hiệu lực

Phát hiện bất thường bằng AI (xác định điểm dừng lỗ): Thông qua phân tích gói mạng (NDR, Network Detection and Response) hoặc phân tích hành vi I/O lưu trữ, AI phát hiện tức thì các hành vi mã hóa bất thường và đọc/ghi hàng loạt, cắt đứt chuỗi truyền nhiễm.
Sao lưu và khôi phục (xác định khả năng phục hồi): Dù AI mạnh đến đâu, vẫn sẽ có lỗ hổng hoặc tấn công zero-day. Việc có quyền truy cập độc lập và lịch sử phiên bản không thể chỉnh sửa là đảm bảo cuối cùng để phục hồi hoạt động.

QNAP giải quyết vấn đề như thế nào: Từ giám sát tệp đến bảo vệ ba lớp chiều sâu với snapshot bất biến

Dù các dịch vụ đám mây lớn như Google đã bắt đầu triển khai bảo vệ AI, nhưng khi đối mặt với dữ liệu nội bộ phức tạp của doanh nghiệp lớn, chỉ dựa vào giải pháp sao lưu trả phí trên đám mây không phải là kế hoạch lâu dài. QNAP tích hợp trực tiếp khái niệm “phát hiện chủ động” tương tự vào hệ điều hành NAS, kết hợp bảo vệ ở cả lớp mạng và lớp lưu trữ, tạo thành cấu trúc ba lớp chiều sâu giúp dữ liệu nội bộ doanh nghiệp cũng được bảo vệ toàn diện.

Lớp đầu tiên: Phát hiện thời gian thực ở lớp lưu trữ — Giám sát hoạt động tệp bất thường của Security Center. QNAP NAS đã được trang bị chức năng tương tự phát hiện AI của Google Drive. Security Center chủ động giám sát hoạt động tệp trên NAS, khi phát hiện hành vi chỉnh sửa hàng loạt hoặc mã hóa bất thường, quản trị viên có thể ngay lập tức theo dõi số lượng tệp bất thường trong một khoảng thời gian cụ thể qua bảng điều khiển, và tùy chỉnh biện pháp bảo mật (bảo vệ / sao lưu / ngắt kết nối) để ứng phó với mã độc tống tiền, phần mềm độc hại hoặc lỗi con người, giảm thiểu rủi ro mất dữ liệu.

Lớp thứ hai: Chủ động chặn ở lớp mạng — QNAP ADRA NDR. Ngoài phát hiện ở lớp tệp, ADRA NDR giám sát tức thì lưu lượng độc hại và di chuyển ngang xâm nhập vào mạng nội bộ từ lớp đóng gói mạng, cung cấp cảnh báo và chặn kết nối trước khi mã độc tống tiền lan sang các đơn vị khác, cắt đứt chuỗi truyền nhiễm ngay từ nguồn.

Lớp thứ ba: Sao lưu bất biến ở lớp nền tảng — ZFS Snapshots và WORM. So với ổ cứng đám mây chỉ cung cấp 25 ngày khôi phục phiên bản tệp, hệ điều hành QNAP QuTS hero dựa trên hệ thống tệp ZFS cung cấp snapshot cấp khối nhẹ, hỗ trợ snapshot bất biến và công nghệ WORM (Write Once Read Many). Ngay cả khi hacker chiếm được quyền quản trị, họ cũng không thể xóa hoặc chỉnh sửa snapshot lịch sử trong thời gian bị khóa, đảm bảo rằng ngay cả khi hai lớp phòng thủ đầu bị xuyên thủng, doanh nghiệp vẫn giữ được điểm khôi phục sạch.

Định lượng lợi ích và cân nhắc môi trường

Theo thống kê từ nhiều báo cáo ngành an ninh mạng năm 2025, thời gian ngừng hoạt động trung bình của doanh nghiệp sau tấn công mã độc tống tiền là khoảng 24 ngày, trong khi chi phí phục hồi trung bình (không tính tiền chuộc) khoảng 1,53 triệu USD. Tổng thiệt hại toàn cầu do mã độc tống tiền dự kiến sẽ tăng lên 74 tỷ USD vào năm 2026. Đáng chú ý, các tổ chức có chiến lược sao lưu bất biến có thể giảm hơn 50% thời gian phục hồi so với phương pháp truyền thống.

Hãy tưởng tượng một doanh nghiệp sản xuất hoặc dịch vụ quy mô vừa lưu trữ dữ liệu vận hành trên một thiết bị NAS hỗ trợ snapshot ZFS. Một ngày nọ, công ty không may bị tấn công mã độc tống tiền. Sau khi Security Center phát hiện bất thường, hệ thống tự động kích hoạt biện pháp bảo vệ. Quản trị viên CNTT lập tức đăng nhập hệ thống và thực hiện khôi phục snapshot. Về bản chất, khôi phục snapshot ZFS là thao tác “chuyển hướng con trỏ khối” — hệ thống chỉ cần chuyển hướng các con trỏ khối của tập dữ liệu về trạng thái tại thời điểm snapshot, thay vì sao chép hoặc tải lại từng tệp. Do đó, bất kể dữ liệu có dung lượng hàng trăm GB hay hàng chục TB, thao tác khôi phục cũng có thể hoàn thành trong thời gian rất ngắn. Ngược lại, tải lại dữ liệu hàng TB từ đám mây có thể mất vài ngày. Sự khác biệt kiến trúc này dự kiến sẽ rút ngắn đáng kể RTO (Mục tiêu thời gian phục hồi) của doanh nghiệp và giảm thiểu tổn thất vận hành do ngừng hoạt động.

Chủ động kiểm soát an ninh trong tay bạn

Việc Google Drive triển khai bảo vệ AI là tin vui cho người dùng cá nhân, nhưng cũng nhấn mạnh mối liên kết không thể tách rời giữa “phát hiện + khôi phục.” Đối với doanh nghiệp, ngoài việc gửi gắm dữ liệu cho không gian đám mây tính phí theo người dùng và giới hạn dung lượng, điều quan trọng hơn là lựa chọn giải pháp bảo vệ lưu trữ doanh nghiệp với quyền kiểm soát chủ động và kiến trúc sâu hơn, thực sự xây dựng thành lũy dữ liệu số bất khả xâm phạm.

Sunnine

QNAP Makreting Memeber

Was this article helpful?

If you want to provide additional feedback, please include it below.

Mục lục

Virus biến thể không thể ngăn chặn: Khi các ông lớn đám mây cũng bắt đầu dựa vào AI
Phân tích nguyên nhân gốc rễ: Vì sao sao lưu không đồng nghĩa với an toàn khôi phục?
Ý tưởng giải pháp: Sự phối hợp giữa phanh chủ động và túi khí
QNAP giải quyết vấn đề như thế nào: Từ giám sát tệp đến bảo vệ ba lớp chiều sâu với snapshot bất biến
Định lượng lợi ích và cân nhắc môi trường
Chủ động kiểm soát an ninh trong tay bạn