科技日?qǐng)?bào)記者 雍黎
5月7日,科技日?qǐng)?bào)記者來(lái)到國(guó)網(wǎng)重慶市電力公司電力科學(xué)研究院,韓世海正在首席專家工作室里,和創(chuàng)新研發(fā)團(tuán)隊(duì)成員一起開展新的研究。
中央企業(yè)勞動(dòng)模范、國(guó)家電網(wǎng)首席專家、大國(guó)工匠培育對(duì)象……韓世海的履歷上寫滿榮譽(yù)。然而,這位國(guó)網(wǎng)重慶電科院網(wǎng)絡(luò)安全首席督查師最引人矚目的成就,莫過(guò)于他在勒索病毒攻防戰(zhàn)中的突破性貢獻(xiàn)。面對(duì)全球網(wǎng)絡(luò)安全領(lǐng)域的“頭號(hào)公敵”,韓世海帶領(lǐng)團(tuán)隊(duì)從被動(dòng)修復(fù)轉(zhuǎn)向主動(dòng)防御,研發(fā)“疫苗”破解了勒索病毒的“數(shù)字枷鎖”,確保數(shù)據(jù)安全。
勒索病毒橫行 研發(fā)關(guān)鍵技術(shù)解鎖
近年來(lái),勒索病毒肆虐全球,悄然侵襲著網(wǎng)絡(luò)空間,全球部分政府、能源企業(yè)、金融機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)等相繼遭受其害。相關(guān)數(shù)據(jù)顯示,2023年勒索攻擊激增67%,已成為網(wǎng)絡(luò)安全主要威脅之一。
所謂勒索病毒,是指采取加密或竊取用戶數(shù)據(jù),并借此向用戶索取勒索金的惡意軟件。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。
與傳統(tǒng)病毒相比,勒索病毒入侵的途徑多,釣魚郵件、系統(tǒng)漏洞、網(wǎng)頁(yè)掛馬、程序木馬都是它的載體;而且隱蔽性強(qiáng)、匿名性高、算法難、變種多,主流超700余種。且其背后的網(wǎng)絡(luò)犯罪組織之間已經(jīng)建立了密切的“攻守同盟”,主要針對(duì)科技、能源、金融等眾多行業(yè)進(jìn)行攻擊,每年勒索金額在25億美元以上。
面對(duì)這一世界難題,韓世海沒(méi)有退縮,反而迎難直上。
他帶領(lǐng)團(tuán)隊(duì)深入研究勒索病毒的感染機(jī)制,對(duì)磁盤內(nèi)文件系統(tǒng)和被加密文件的文件結(jié)構(gòu)底層進(jìn)行了細(xì)致的剖析。經(jīng)過(guò)無(wú)數(shù)次的試驗(yàn)與失敗,他首次提出文件結(jié)構(gòu)逆向修復(fù)技術(shù),首創(chuàng)“存儲(chǔ)數(shù)據(jù)高可靠救援關(guān)鍵技術(shù)及裝置”,不僅攻克了99%的勒索病毒修復(fù)難題,還實(shí)現(xiàn)惡意攻擊、存儲(chǔ)介質(zhì)質(zhì)量缺陷等各類復(fù)雜環(huán)境下存儲(chǔ)數(shù)據(jù)高可靠現(xiàn)場(chǎng)一站式救援。
“我們側(cè)重于硬件本身的修復(fù),就像外科醫(yī)生,通過(guò)給硬盤動(dòng)手術(shù),解決病毒損害。”韓世海這樣形容他們的修復(fù)技術(shù),對(duì)此他們還獨(dú)創(chuàng)了氦氣硬盤開盤方法,從而使氦氣硬盤的修復(fù)從不可能變?yōu)榱丝赡堋?/p>
首創(chuàng)“疫苗” 主動(dòng)防御避免勒索
2023年底,我國(guó)兩家大型國(guó)有企業(yè)遭受勒索病毒攻擊,讓韓世海意識(shí)到,數(shù)據(jù)安全應(yīng)急救援的技術(shù)雖然重要,但它總是滯后于病毒的攻擊,無(wú)法從根本上解決問(wèn)題。
“勒索病毒防治有兩大痛點(diǎn):主流技術(shù)防不住、解密破解不可能。”韓世海說(shuō),目前存儲(chǔ)核心技術(shù)受美日韓三國(guó)把持,主流技術(shù)均是從勒索病毒網(wǎng)絡(luò)傳播路徑進(jìn)行阻斷,傳統(tǒng)殺毒軟件防不住、邊界設(shè)備防不住、安全漏洞防不住。相比以往的病毒,勒索病毒隱蔽性高、匿名性高、算法難,采用混合復(fù)雜加密,如果暴力破解理論需要上百年。
如何能徹底解決勒索病毒的威脅?韓世海團(tuán)隊(duì)提出了數(shù)據(jù)安全主動(dòng)防御技術(shù)路線。實(shí)驗(yàn)室里,持續(xù)數(shù)月與勒索病毒較量,防御、感染、恢復(fù)、防御、再感染、再恢復(fù)……經(jīng)過(guò)無(wú)數(shù)次的試驗(yàn)與改進(jìn),韓世海帶領(lǐng)團(tuán)隊(duì)顛覆傳統(tǒng)網(wǎng)絡(luò)防護(hù)路線,突破存儲(chǔ)技術(shù)封鎖,成功防御了勒索病毒,并研發(fā)出勒索病毒主動(dòng)防御系統(tǒng)。
“我們叫它勒索病毒‘疫苗’,預(yù)防一共有三針。”韓世海說(shuō),這三針就是他們的三個(gè)首創(chuàng)技術(shù)。第一針是首創(chuàng)序列化文件關(guān)鍵代碼技術(shù),比對(duì)識(shí)別攻擊行為,序列化原文件關(guān)鍵代碼,偽裝病毒母體“白名單”,使病毒無(wú)法正確識(shí)別、加密。
第二針是首創(chuàng)目錄表加密重構(gòu)技術(shù),文件系統(tǒng)目錄表底層代碼進(jìn)行部分關(guān)鍵字節(jié)加密重構(gòu),建立專用目錄表,讓勒索病毒無(wú)法訪問(wèn)及建立待攻擊文件目錄表。
第三針則是首創(chuàng)固件虛擬化加載技術(shù),建立文件頭、文件系統(tǒng)關(guān)鍵扇區(qū)模板庫(kù),一旦監(jiān)控到勒索病毒攻擊引起的對(duì)應(yīng)關(guān)系異常,可直接虛擬加載固件驅(qū)動(dòng)磁盤進(jìn)入只讀甚至離線模式。
這三項(xiàng)主動(dòng)防御技術(shù)均獨(dú)立研發(fā),自主可控,可有效防御99%的勒索病毒,并申請(qǐng)了6項(xiàng)發(fā)明專利。
近年來(lái),韓世海帶領(lǐng)團(tuán)隊(duì)成員應(yīng)用存儲(chǔ)數(shù)據(jù)高可靠救援關(guān)鍵技術(shù)及裝置,先后為重慶市能源大數(shù)據(jù)中心、重慶市衛(wèi)健委等單位恢復(fù)大量重要數(shù)據(jù),累計(jì)開展數(shù)據(jù)安全應(yīng)急救援服務(wù)600余次,勒索病毒主動(dòng)防御技術(shù)已在我國(guó)某裝備集團(tuán)、某公有云平臺(tái)等開展試點(diǎn)應(yīng)用。
傾囊相授 悉心培養(yǎng)網(wǎng)安人才
在無(wú)數(shù)個(gè)日夜中,韓世海隱身在虛擬的網(wǎng)絡(luò)世界,排查漏洞隱患,守護(hù)信息網(wǎng)絡(luò)安全“護(hù)城河”。國(guó)網(wǎng)重慶電科院也成立了以韓世海為領(lǐng)頭人的首席專家工作室及創(chuàng)新研發(fā)團(tuán)隊(duì)。多年來(lái),韓世海充分發(fā)揮“傳幫帶”作用,把技藝毫無(wú)保留地傳授給團(tuán)隊(duì)成員。
在2023年的第二屆全國(guó)工業(yè)和信息化技術(shù)技能大賽工業(yè)互聯(lián)網(wǎng)競(jìng)賽中,韓世海帶領(lǐng)團(tuán)隊(duì)主力隊(duì)員高爽、楊峰首次代表重慶市參賽就獲得競(jìng)賽團(tuán)體三等獎(jiǎng)。高爽說(shuō):“韓老師平時(shí)少言寡語(yǔ),但在傳授技藝時(shí)卻滔滔不絕,傾囊相授,希望大家全部掌握并傳承下去。”
依托國(guó)網(wǎng)首席專家(韓世海)工作室平臺(tái),韓世海探索實(shí)施“平臺(tái)培養(yǎng)”“輪訓(xùn)鍛煉”“實(shí)戰(zhàn)練兵”三種培養(yǎng)方式,集中力量打造網(wǎng)絡(luò)安全專業(yè)中堅(jiān)人才。目前,他已培育出國(guó)家電網(wǎng)公司技術(shù)能手、公安部數(shù)據(jù)取證專家、巴渝青年技能之星等專家人才10名。
韓世海還通過(guò)現(xiàn)場(chǎng)培訓(xùn)、論壇分享、線上宣講等多種方式,撰寫并出版了《隱形戰(zhàn)場(chǎng)網(wǎng)絡(luò)安全防御之道》,將自己在網(wǎng)絡(luò)安全領(lǐng)域積累的技能知識(shí)進(jìn)行公開傳授,累計(jì)培訓(xùn)3000余人次。他先后獲得了2022年全國(guó)數(shù)據(jù)安全競(jìng)賽優(yōu)秀指導(dǎo)教練、2023“網(wǎng)鼎杯”網(wǎng)絡(luò)安全大賽優(yōu)秀領(lǐng)隊(duì)等獎(jiǎng)項(xiàng),并被廈門大學(xué)聘請(qǐng)為工程碩博士聯(lián)合培養(yǎng)項(xiàng)目企業(yè)導(dǎo)師,為企業(yè)和社會(huì)網(wǎng)絡(luò)安全人才培養(yǎng)做出了巨大貢獻(xiàn)。
從默默無(wú)聞的技術(shù)小白成長(zhǎng)為網(wǎng)絡(luò)信息安全帶頭人、引領(lǐng)者。今年44歲的韓世海用“熱愛(ài)”“責(zé)任”兩個(gè)詞概括自己20多年堅(jiān)持。
“現(xiàn)在勒索病毒攻擊從過(guò)去個(gè)人、單點(diǎn)黑客行為向組織化、系統(tǒng)化、專業(yè)化方向蔓延。”韓世海說(shuō),勒索病毒的防御需求量還很大,他將和團(tuán)隊(duì)一起努力,不斷創(chuàng)新防御技術(shù),保證數(shù)據(jù)安全。