Nur weil die beiden QNAPs nicht ins Internet können sind die damit automatisch geschützt.
Wenn du die absichern willst, dann müssten die jeweils in ein eigenen Netz und nur mit den absolut nötigen Ports von einzelnen Quellen aus erreichbar sein. Sowie untereinander nur die Ports freigeben die für den Backup Job notwendig sind.
Wenn du die nicht ins Internet lässt, dann können die auch den eigenen Virenschutz usw. nicht auf stand bringen.
Was Bedrohungen aus dem bösen Internet angeht, sind Updates nun mal der beste Schutz, gefolgt von einem Virenschutz, denn einen Proxy und ein Mail Relay was für jeden Anhang erst mal eine Sandbox hoch fährt, wirst du im privatem Bereich sicherlich nicht haben.
Und wenn du nur die absoluten Basics nutzt, also SMB und das Backup Feature, sollte das auch kein so großes Risiko sein, diese Updates ein zu spielen.
Würdest du die jetzt als Domain Controller einsetzen, hättest deine Virtuelle Server Farm hier drauf inkl. Firewall für die DMZ Netze, Proxys, DHCP und DNS Server usw., dann muss man das schon eher abwägen. Aber auch hier ist ein Update früher oder später das einzig Sinnvolle, ggf. halt mit Verzögerung oder mal dem Auslassen von 1-2 Versionen, bis die Fehler die andere gemeldet haben und die eigenen Anwendungen betreffen würden, behoben worden sind.
Denn wenn es bei den ganzen Wellen von von Verschlüsselungstrojanern jemanden erwischt hat, dann waren das immer Firmen, Personen, die ein stark veraltetes System eingesetzt haben.
Nerver touch a running System kann man heute sicherheitstechnisch nicht mehr vertreten.