Tech Pulse

Bài viết mới nhất 2026-03-19

7 phút đọc

Hướng dẫn sống sót trước ransomware: Tại sao 'Tính bất biến' và 'Sao lưu ngoại tuyến' lại là tuyến phòng thủ cuối cùng cho doanh nghiệp vào năm 2026?

Chia sẻ

This content is machine translated. Please see the Machine Translation Disclaimer.

On this day in 2026, we must acknowledge a harsh reality: "backups" are no longer a safe haven for cybersecurity, but have become the primary target for hacker attacks.

With the weaponization of generative AI (GenAI), modern ransomware (Ransomware 3.0) is demonstrating unprecedented tactical intelligence. Although the dwell time in Networking is shorter, its destructive power has multiplied. Hackers no longer just encrypt your production environment; they now prioritize seeking out and deleting backup systems, wiping out snapshots, and even poisoning backup data, leaving enterprises in a desperate situation with no way out.

In the face of such threats, traditional backup strategies have become outdated. This article will delve into the two main pillars of building modern cyber resilience: Immutable Snapshots and Physical/Logical Air-Gapped Backups.

When backup software becomes an attack surface

According to the latest market threat report, over 90% of ransomware attacks attempt to destroy backup repositories. This has driven the storage and cybersecurity market to shift their technical paradigms, moving from the traditional RTO question of “How long will it take us to recover?” to “Are we sure our data still exists?” This is because storage systems are becoming more security-focused—they are no longer just simple data repositories, but have become critical defense points with built-in ransomware detection and prevention mechanisms. On the other hand, requirements related to Networking insurance (Cyber Insurance) have already started to list “immutable backups” as a prerequisite for underwriting or claims settlement.

In the era of AI vs. AI, even if traditional perimeter defenses (Firewall/EDR) block 99% of attacks, the remaining 1% can still be fatal. Therefore, "immutable" backups data are the key advantage for enterprises to refuse to pay ransoms at the negotiation table.

Core Technology One: Immutable Snapshots

What is "immutability"?

Simply put, it means "write once, read many" (WORM - Write Once, Read Many). Once data is written and locked, within the set retention period, no one—including System Management members, Root Permission owners, or even the QES software itself—can modify or delete these data.

In recent years, due to the widespread adoption of Object Lock, Object Lock based on the S3 API has become the standard for cloud and on-premises storage objects. Many modern high-speed storage arrays (All-Flash Arrays) model now integrate this feature directly at the underlying layer, eliminating the need for additional software layers. Furthermore, the information environment has introduced multi-factor authentication (MFA) enforced deletion. Even if a hacker obtains administrator credentials and wants to modify the immutability policy or forcibly delete snapshots, the system will trigger the "Four-eyes principle," requiring multiple people and multiple factors License before approval is granted. This ensures the undeletable characteristic of data.

Technical Core II: Physical and Logical Isolation (Air-Gapped Backups, Airgap Isolation Backup)

Traditional vs. modern Air-Gap are already very different. In the past, we thought of Air-Gap as removing the tape and locking it in a safe deposit box. Although this is effective, the recovery speed (RTO) is too slow and cannot meet modern business requirements. However, it can still serve as an offsite backup node and, in the event of Networking interruption and inability to recover, act as the last line of defense.

Modern "virtual air-gap" refers more to logical isolation and Networking layer blocking, including non-routable Networking (Non-routable Networks). We can store backups in a network segment completely isolated from the production environment, and only during the scheduled backup time will a specific secure channel be opened to transfer data for backup. Once the backup is complete, this specific secure channel is immediately closed, so hackers cannot access this isolated, unreachable golden backup area.

In addition, enterprises will also implement an isolated recovery environment (Cleanroom Recovery), using cloud resources to establish a separate secure clean area. Before restoring the backup data to the production environment, AI scanning and identification are first performed in the secure area to ensure there is no hidden malicious software.

From “Manual Disconnection” to “Intelligent Isolation”: The Evolution of Airgap+ Technology in Practice

After understanding the theory behind air-gapping, the most common practical challenge enterprises face is: “Do IT staff really have to go to the server room every day to plug and unplug Networking cables?” In an era of tight manpower, this is clearly unrealistic. Therefore, a new generation of backup protection technology has introduced the concept of “Active Air-Gap,” such as QNAP’s Airgap+ technology, which automates and smartens this concept.

The core logic of this technology lies in the concept of “Disconnected by default.” Unlike traditional firewalls that rely solely on rule-based software to block traffic, the modern Airgap+ integrates backup software (such as HBS 3) with the control layer of Networkingunit (Router or Switch). Only at the moment when a backup task is initiated will the system send a command to “wake up” the specific Networking interface (Link Up); once data transmission is complete, the Networking interface will be immediately shut down at the physical or logical layer (Link Down).

When setting up HBS backup and selecting remote NAS unit, you can conveniently enable the RTRR server. Scroll down on this page to find the Airgap+ option.

In the image, you can see that we selected a QNAP Switch supporting Airgap+. In this case, we chose the QSW-M3224-24T. You can see that the actual test speed in this case reached 1.02GB per second. The environment between the two devices is connected via 10GbE Networking, which makes the backup synchronization much more efficient.

This design creates a “time window” that is difficult for hackers to cross, because for 99% of the time, the backup server is completely invisible on Networking (Invisible), making it undetectable by scanning tools and unreachable by ransomware software. By using QNAP Router or a supported QNAP switch, you can deploy this upgraded version of Airgap+ with even higher Security isolation.

The protected NAS unit will be marked as protected in HBS 3. Even if you try to connect to this IP address, the system will not succeed, because it is hidden or blocked by Switch or Router.

QNAP NAS unit protected by Airgap+ will not be visible on the internal network. As shown in the two images below, even QNAP's Qfinder Pro cannot find this NAS after the system backup has established the Airgap+ mechanism.

In addition, for environments with high Security requirements, an advanced architecture can even adopt the "Bridge Mode," which means we can add an intermediary bridge unit (Bridge NAS) that is not storagedata between the production environment and the backup vault. The production server can only access the intermediary unit, while the actual backup vault is hidden behind the intermediary unit, forming a "deep defense" that isolates the core backup area. Even if the production environment is completely compromised, attackers still cannot find a digital path to the core of the backup, which significantly enhances the ultimate data Security of the backup domain.

In this environment, the interface of the QNAP switch QSW-M3224-24T immediately displays that the NAS unit TS-855X is connected to ports 17, 19, and 23, all of which are shown as disconnected.

Practical strategy: Upgrade the 3-2-1 backup rule to the 3-2-1-1-0 rule

The previous “3-2-1 rule” (3 copies, 2 types of media, 1 offsite) has proven insufficient in the face of targeted attacks. Many enterprises, when implementing business information and Networking environments, have already begun to promote organizational upgrades to the “3-2-1-1-0 rule.” What is this?

That is, in an information environment, you should have at least:

3 copies of data.

2 different storage media.

1 copy to be stored off-site (Offsite).

1 offline or immutable (Offline / Immutable) copy, which is currently a key focus in the market.

0 errors (automated verification ensures backup is readable and restorable).

Trust is good, but verification and locking are more important

As the global cybersecurity landscape becomes increasingly blurred, identity verification may be stolen and vulnerabilities may be exploited by zero-day attacks (Zero-day). Only Immutable Snapshots and Air-Gap Backups provide the new generation of digital gold vaults, ensuring that in an era of rampant ransomware, enterprise core data remains intact and unharmed.

Vào ngày này năm 2026, chúng ta phải thừa nhận một thực tế khắc nghiệt: "sao lưu" không còn là nơi trú ẩn an toàn cho an ninh mạng, mà đã trở thành mục tiêu chính cho các cuộc tấn công của hacker.

Với việc AI sinh ra (GenAI) được vũ khí hóa, ransomware hiện đại (Ransomware 3.0) đang thể hiện trí thông minh chiến thuật chưa từng có. Dù thời gian lưu trú trong mạng ngắn hơn, sức phá hoại của nó lại tăng lên nhiều lần. Hacker không chỉ mã hóa môi trường sản xuất của bạn; họ còn ưu tiên tìm kiếm và xóa hệ thống sao lưu, xóa sạch snapshot, thậm chí đầu độc dữ liệu sao lưu, khiến doanh nghiệp rơi vào tình thế tuyệt vọng không lối thoát.

Đối mặt với những mối đe dọa này, các chiến lược sao lưu truyền thống đã trở nên lỗi thời. Bài viết này sẽ đi sâu vào hai trụ cột chính để xây dựng khả năng phục hồi mạng hiện đại: Snapshot bất biến và sao lưu cách ly vật lý/lô-gic (Air-Gapped Backups).

Khi phần mềm sao lưu trở thành bề mặt tấn công

Theo báo cáo mối đe dọa thị trường mới nhất, hơn 90% các cuộc tấn công ransomware đều cố gắng phá hủy kho lưu trữ sao lưu. Điều này đã thúc đẩy thị trường lưu trữ và an ninh mạng chuyển đổi mô hình kỹ thuật, từ câu hỏi RTO truyền thống "Mất bao lâu để chúng ta phục hồi?" sang "Chúng ta có chắc dữ liệu vẫn còn tồn tại không?" Bởi vì hệ thống lưu trữ đang ngày càng tập trung vào bảo mật—chúng không còn chỉ là kho dữ liệu đơn giản, mà đã trở thành điểm phòng thủ quan trọng với cơ chế phát hiện và ngăn chặn ransomware tích hợp sẵn. Mặt khác, các yêu cầu liên quan đến bảo hiểm mạng (Cyber Insurance) đã bắt đầu liệt kê "sao lưu bất biến" như điều kiện tiên quyết để cấp hợp đồng hoặc giải quyết bồi thường.

Trong kỷ nguyên AI đấu AI, ngay cả khi các phòng thủ truyền thống (Firewall/EDR) chặn được 99% cuộc tấn công, 1% còn lại vẫn có thể gây tử vong. Vì vậy, dữ liệu sao lưu "bất biến" là lợi thế then chốt để doanh nghiệp từ chối trả tiền chuộc trên bàn đàm phán.

Công nghệ lõi một: Snapshot bất biến

"Bất biến" là gì?

Nói đơn giản, nó nghĩa là "ghi một lần, đọc nhiều lần" (WORM - Write Once, Read Many). Khi dữ liệu đã được ghi và khóa, trong thời gian lưu giữ đã đặt, không ai—kể cả thành viên quản trị hệ thống, chủ sở hữu quyền Root, hay chính phần mềm QES—có thể sửa đổi hoặc xóa dữ liệu này.

Những năm gần đây, nhờ sự phổ biến của Object Lock, Object Lock dựa trên API S3 đã trở thành tiêu chuẩn cho các đối tượng lưu trữ trên đám mây và tại chỗ. Nhiều mẫu mảng lưu trữ tốc độ cao hiện đại (All-Flash Arrays) đã tích hợp tính năng này trực tiếp ở tầng nền, loại bỏ nhu cầu về lớp phần mềm bổ sung. Ngoài ra, môi trường thông tin đã bổ sung xác thực đa yếu tố (MFA) cho việc xóa dữ liệu. Ngay cả khi hacker lấy được quyền quản trị và muốn sửa đổi chính sách bất biến hoặc xóa snapshot cưỡng bức, hệ thống sẽ kích hoạt "nguyên tắc bốn mắt," yêu cầu nhiều người và nhiều yếu tố cấp phép trước khi phê duyệt. Điều này đảm bảo đặc tính không thể xóa của dữ liệu.

Công nghệ lõi hai: Cách ly vật lý và lô-gic (Air-Gapped Backups, Airgap Isolation Backup)

Air-Gap truyền thống và hiện đại đã rất khác nhau. Trước đây, chúng ta nghĩ Air-Gap là tháo băng và cất vào két sắt. Dù hiệu quả, tốc độ phục hồi (RTO) quá chậm và không đáp ứng được yêu cầu kinh doanh hiện đại. Tuy nhiên, nó vẫn có thể là nút sao lưu ngoài site và, khi mạng bị gián đoạn không thể phục hồi, đóng vai trò phòng tuyến cuối cùng.

"Air-gap ảo" hiện đại đề cập nhiều hơn đến cách ly lô-gic và chặn tầng mạng, bao gồm mạng không định tuyến (Non-routable Networks). Chúng ta có thể lưu sao lưu ở một phân đoạn mạng hoàn toàn cách ly với môi trường sản xuất, chỉ trong thời gian sao lưu định kỳ mới mở kênh bảo mật để truyền dữ liệu. Khi sao lưu xong, kênh bảo mật này sẽ đóng ngay lập tức, hacker không thể truy cập vào vùng sao lưu vàng cách ly, không thể tiếp cận.

Ngoài ra, doanh nghiệp còn triển khai môi trường phục hồi cách ly (Cleanroom Recovery), sử dụng tài nguyên đám mây để thiết lập vùng sạch bảo mật riêng biệt. Trước khi phục hồi dữ liệu sao lưu về môi trường sản xuất, AI sẽ quét và nhận diện trước trong vùng bảo mật để đảm bảo không có phần mềm độc hại ẩn.

Từ "Ngắt kết nối thủ công" đến "Cách ly thông minh": Sự tiến hóa của công nghệ Airgap+ trong thực tiễn

Sau khi hiểu lý thuyết về air-gapping, thách thức thực tế phổ biến nhất doanh nghiệp gặp phải là: "Nhân viên IT có thực sự phải vào phòng máy mỗi ngày để cắm/rút dây mạng không?" Trong thời đại thiếu nhân lực, điều này rõ ràng không khả thi. Vì vậy, thế hệ công nghệ bảo vệ sao lưu mới đã giới thiệu khái niệm "Active Air-Gap," như công nghệ Airgap+ của QNAP, tự động hóa và thông minh hóa khái niệm này.

Logic cốt lõi của công nghệ này nằm ở "Ngắt kết nối mặc định." Khác với firewall truyền thống chỉ dựa vào phần mềm quy tắc để chặn lưu lượng, Airgap+ hiện đại tích hợp phần mềm sao lưu (như HBS 3) với tầng điều khiển của thiết bị mạng (Router hoặc Switch). Chỉ khi nhiệm vụ sao lưu được khởi tạo, hệ thống mới gửi lệnh "đánh thức" giao diện mạng cụ thể (Link Up); khi truyền dữ liệu xong, giao diện mạng sẽ lập tức bị tắt ở tầng vật lý hoặc lô-gic (Link Down).

Khi thiết lập sao lưu HBS và chọn thiết bị NAS từ xa, bạn có thể dễ dàng bật máy chủ RTRR. Cuộn xuống trang này để tìm tùy chọn Airgap+.

Trong hình, bạn thấy chúng tôi chọn Switch QNAP hỗ trợ Airgap+. Ở đây, chúng tôi chọn QSW-M3224-24T. Bạn có thể thấy tốc độ kiểm tra thực tế đạt 1.02GB mỗi giây. Môi trường giữa hai thiết bị kết nối qua mạng 10GbE, giúp đồng bộ sao lưu hiệu quả hơn nhiều.

Thiết kế này tạo ra "cửa sổ thời gian" mà hacker khó vượt qua, vì 99% thời gian, máy chủ sao lưu hoàn toàn vô hình trên mạng (Invisible), không thể bị phát hiện bởi công cụ quét và không thể bị ransomware truy cập. Bằng cách sử dụng Router QNAP hoặc switch QNAP hỗ trợ, bạn có thể triển khai phiên bản nâng cấp Airgap+ với cách ly bảo mật cao hơn.

Thiết bị NAS được bảo vệ sẽ được đánh dấu là đã bảo vệ trong HBS 3. Dù bạn cố kết nối địa chỉ IP này, hệ thống cũng không thành công, vì nó bị ẩn hoặc chặn bởi Switch hoặc Router.

NAS QNAP được bảo vệ bởi Airgap+ sẽ không xuất hiện trên mạng nội bộ. Như hai hình dưới đây, ngay cả Qfinder Pro của QNAP cũng không thể tìm thấy NAS này sau khi hệ thống sao lưu đã thiết lập cơ chế Airgap+.

Ngoài ra, với môi trường yêu cầu bảo mật cao, kiến trúc nâng cao còn có thể áp dụng "Chế độ cầu nối" (Bridge Mode), nghĩa là chúng ta có thể thêm thiết bị cầu nối trung gian (Bridge NAS) không lưu trữ dữ liệu giữa môi trường sản xuất và kho sao lưu. Máy chủ sản xuất chỉ truy cập thiết bị trung gian, còn kho sao lưu thực tế bị ẩn phía sau thiết bị trung gian, tạo thành "phòng thủ sâu" cách ly vùng sao lưu lõi. Dù môi trường sản xuất bị xâm nhập hoàn toàn, kẻ tấn công vẫn không tìm được đường số hóa đến lõi sao lưu, nâng cao đáng kể bảo mật dữ liệu tối thượng cho miền sao lưu.

Trong môi trường này, giao diện switch QNAP QSW-M3224-24T lập tức hiển thị NAS TS-855X kết nối các cổng 17, 19 và 23, tất cả đều ở trạng thái ngắt kết nối.

Chiến lược thực tiễn: Nâng cấp quy tắc sao lưu 3-2-1 lên 3-2-1-1-0

Quy tắc "3-2-1" trước đây (3 bản sao, 2 loại phương tiện, 1 bản ngoài site) đã không đủ trước các cuộc tấn công có chủ đích. Nhiều doanh nghiệp khi triển khai môi trường thông tin và mạng đã bắt đầu thúc đẩy nâng cấp tổ chức lên quy tắc "3-2-1-1-0." Đó là gì?

Nghĩa là, trong môi trường thông tin, bạn nên có ít nhất:

3 bản sao dữ liệu.

2 loại phương tiện lưu trữ khác nhau.

1 bản sao lưu ngoài site (Offsite).

1 bản sao ngoại tuyến hoặc bất biến (Offline / Immutable), hiện là trọng tâm trên thị trường.

0 lỗi (kiểm tra tự động đảm bảo sao lưu đọc được và phục hồi được).

Tin tưởng là tốt, nhưng xác minh và khóa còn quan trọng hơn

Khi bối cảnh an ninh mạng toàn cầu ngày càng mờ nhạt, xác thực danh tính có thể bị đánh cắp và lỗ hổng có thể bị khai thác bởi tấn công zero-day. Chỉ Snapshot bất biến và sao lưu Air-Gap mới cung cấp kho vàng số thế hệ mới, đảm bảo trong thời đại ransomware hoành hành, dữ liệu lõi doanh nghiệp vẫn nguyên vẹn và không bị tổn hại.

QNAP Marketing Team

Was this article helpful?

If you want to provide additional feedback, please include it below.

Mục lục

Khi phần mềm sao lưu trở thành bề mặt tấn công
- Công nghệ lõi một: Snapshot bất biến
- Công nghệ lõi hai: Cách ly vật lý và lô-gic (Air-Gapped Backups, Airgap Isolation Backup)
Từ "Ngắt kết nối thủ công" đến "Cách ly thông minh": Sự tiến hóa của công nghệ Airgap+ trong thực tiễn
Chiến lược thực tiễn: Nâng cấp quy tắc sao lưu 3-2-1 lên 3-2-1-1-0
Tin tưởng là tốt, nhưng xác minh và khóa còn quan trọng hơn