科技日报记者 雍黎
5月7日,科技日报记者来到国网重庆市电力公司电力科学研究院,韩世海正在首席专家工作室里,和创新研发团队成员一起开展新的研究。
中央企业劳动模范、国家电网首席专家、大国工匠培育对象……韩世海的履历上写满荣誉。然而,这位国网重庆电科院网络安全首席督查师最引人瞩目的成就,莫过于他在勒索病毒攻防战中的突破性贡献。面对全球网络安全领域的“头号公敌”,韩世海带领团队从被动修复转向主动防御,研发“疫苗”破解了勒索病毒的“数字枷锁”,确保数据安全。
勒索病毒横行 研发关键技术解锁
近年来,勒索病毒肆虐全球,悄然侵袭着网络空间,全球部分政府、能源企业、金融机构、医疗机构等相继遭受其害。相关数据显示,2023年勒索攻击激增67%,已成为网络安全主要威胁之一。
所谓勒索病毒,是指采取加密或窃取用户数据,并借此向用户索取勒索金的恶意软件。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
与传统病毒相比,勒索病毒入侵的途径多,钓鱼邮件、系统漏洞、网页挂马、程序木马都是它的载体;而且隐蔽性强、匿名性高、算法难、变种多,主流超700余种。且其背后的网络犯罪组织之间已经建立了密切的“攻守同盟”,主要针对科技、能源、金融等众多行业进行攻击,每年勒索金额在25亿美元以上。
面对这一世界难题,韩世海没有退缩,反而迎难直上。
他带领团队深入研究勒索病毒的感染机制,对磁盘内文件系统和被加密文件的文件结构底层进行了细致的剖析。经过无数次的试验与失败,他首次提出文件结构逆向修复技术,首创“存储数据高可靠救援关键技术及装置”,不仅攻克了99%的勒索病毒修复难题,还实现恶意攻击、存储介质质量缺陷等各类复杂环境下存储数据高可靠现场一站式救援。
“我们侧重于硬件本身的修复,就像外科医生,通过给硬盘动手术,解决病毒损害。”韩世海这样形容他们的修复技术,对此他们还独创了氦气硬盘开盘方法,从而使氦气硬盘的修复从不可能变为了可能。
首创“疫苗” 主动防御避免勒索
2023年底,我国两家大型国有企业遭受勒索病毒攻击,让韩世海意识到,数据安全应急救援的技术虽然重要,但它总是滞后于病毒的攻击,无法从根本上解决问题。
“勒索病毒防治有两大痛点:主流技术防不住、解密破解不可能。”韩世海说,目前存储核心技术受美日韩三国把持,主流技术均是从勒索病毒网络传播路径进行阻断,传统杀毒软件防不住、边界设备防不住、安全漏洞防不住。相比以往的病毒,勒索病毒隐蔽性高、匿名性高、算法难,采用混合复杂加密,如果暴力破解理论需要上百年。
如何能彻底解决勒索病毒的威胁?韩世海团队提出了数据安全主动防御技术路线。实验室里,持续数月与勒索病毒较量,防御、感染、恢复、防御、再感染、再恢复……经过无数次的试验与改进,韩世海带领团队颠覆传统网络防护路线,突破存储技术封锁,成功防御了勒索病毒,并研发出勒索病毒主动防御系统。
“我们叫它勒索病毒‘疫苗’,预防一共有三针。”韩世海说,这三针就是他们的三个首创技术。第一针是首创序列化文件关键代码技术,比对识别攻击行为,序列化原文件关键代码,伪装病毒母体“白名单”,使病毒无法正确识别、加密。
第二针是首创目录表加密重构技术,文件系统目录表底层代码进行部分关键字节加密重构,建立专用目录表,让勒索病毒无法访问及建立待攻击文件目录表。
第三针则是首创固件虚拟化加载技术,建立文件头、文件系统关键扇区模板库,一旦监控到勒索病毒攻击引起的对应关系异常,可直接虚拟加载固件驱动磁盘进入只读甚至离线模式。
这三项主动防御技术均独立研发,自主可控,可有效防御99%的勒索病毒,并申请了6项发明专利。
近年来,韩世海带领团队成员应用存储数据高可靠救援关键技术及装置,先后为重庆市能源大数据中心、重庆市卫健委等单位恢复大量重要数据,累计开展数据安全应急救援服务600余次,勒索病毒主动防御技术已在我国某装备集团、某公有云平台等开展试点应用。
倾囊相授 悉心培养网安人才
在无数个日夜中,韩世海隐身在虚拟的网络世界,排查漏洞隐患,守护信息网络安全“护城河”。国网重庆电科院也成立了以韩世海为领头人的首席专家工作室及创新研发团队。多年来,韩世海充分发挥“传帮带”作用,把技艺毫无保留地传授给团队成员。
在2023年的第二届全国工业和信息化技术技能大赛工业互联网竞赛中,韩世海带领团队主力队员高爽、杨峰首次代表重庆市参赛就获得竞赛团体三等奖。高爽说:“韩老师平时少言寡语,但在传授技艺时却滔滔不绝,倾囊相授,希望大家全部掌握并传承下去。”
依托国网首席专家(韩世海)工作室平台,韩世海探索实施“平台培养”“轮训锻炼”“实战练兵”三种培养方式,集中力量打造网络安全专业中坚人才。目前,他已培育出国家电网公司技术能手、公安部数据取证专家、巴渝青年技能之星等专家人才10名。
韩世海还通过现场培训、论坛分享、线上宣讲等多种方式,撰写并出版了《隐形战场网络安全防御之道》,将自己在网络安全领域积累的技能知识进行公开传授,累计培训3000余人次。他先后获得了2022年全国数据安全竞赛优秀指导教练、2023“网鼎杯”网络安全大赛优秀领队等奖项,并被厦门大学聘请为工程硕博士联合培养项目企业导师,为企业和社会网络安全人才培养做出了巨大贡献。
从默默无闻的技术小白成长为网络信息安全带头人、引领者。今年44岁的韩世海用“热爱”“责任”两个词概括自己20多年坚持。
“现在勒索病毒攻击从过去个人、单点黑客行为向组织化、系统化、专业化方向蔓延。”韩世海说,勒索病毒的防御需求量还很大,他将和团队一起努力,不断创新防御技术,保证数据安全。
