选举安全三大漏洞解析及防护策略

在2020年黑帽大会虚拟会议上，主题演讲者Matt Blaze分析了当前投票过程中的安全弱点，并敦促信息安全社区（特别是渗透测试人员）与选举委员会加强合作。他指出，测试人员通过探索每个可能的利用选项和模拟危机场景的方法论，在保障投票过程安全方面能发挥不可替代的作用。

修复建议：在软件开发生命周期（SDLC）早期进行定期安全测试，并在部署前实施自动化测试套件

软件几乎应用于所有领域，投票也不例外。虽然不能排除物理硬件网络攻击，但攻击软件是攻击者破坏选举更简单常见的方式，通常通过引入病毒或恶意软件进行远程入侵。

以电子投票登记册为例。许多投票点使用安装投票登记软件笔记本电脑和平板电脑来登记选民。虽然被入侵的电子投票登记册不会改变投票结果，但对设备的网络攻击可能导致延误，阻碍人们投票。这个例子展示了软件在选举过程中的关键作用，软件还广泛应用于选民登记、投票机、选票制作及计票系统。

这个案例给安全专业人士的启示是：左移测试。产品开发和IT团队需要设定软件开发需求，主动实施足够的完整性检查，确保生态系统中没有篡改或恶意软件，并能进行审计分析。

这些自动化测试字段应在SDLC早期考虑，确保漏洞不会出现在源代码或软件设计中。自动化测试套件不仅是软件设计的必要组成部分，也是在部署前（或投票安全、选举日）测试系统的关键。设定更定期的测试里程碑和全面要求将实现及时警报，并生成审计追踪以了解病毒引入的时间和位置。

修复建议：为所有合作伙伴设定并执行最低安全要求

根据已发布信息，国家支持的攻击者通过第三方组织（负责制造和管理选举相关软件硬件的私人技术公司）访问网络，入侵了选民登记过程。大多数合作组织都连接到互联网，攻击者可以将其作为入口点执行恶意活动，如注入恶意软件。

从外部利用互联网漏洞访问安全弱点是安全事件的常见原因。以2013年著名的Target数据泄露为例，攻击者通过其HVAC供应商访问了Target的销售点系统，该供应商没有落实最低安全要求。

为确保攻击者不会通过第三方合作伙伴进入网络，不能存在任何薄弱环节。CISO必须确保所有合作组织都达到监管机构要求的最低安全要求，并寻找超越监管要求、以主动方式处理安全问题的合作伙伴。最低安全要求通常包括多层保护，如在应用程序中构建行为分析能力、定期代码审查和渗透测试、进行威胁建模等。

修复建议：实施深度防御策略并执行对抗模拟

在每个选举委员会都拥有某种形式的安全策略和威胁检测工具（防火墙、入侵检测等）的情况下，如何知道这些措施正常工作？这时深度防御策略变得至关重要，特别是在危机情况下。深度防御提供多层安全保护，如果一个工具失效或被篡改，还有备用措施保护整个过程的完整性。

为确保检测控制和事件响应团队的有效性，对抗模拟是关键。如果控制措施配置不当，直到为时已晚、泄露已发生时才会发现。模拟还可以测试事件响应团队是否能检测到渗透测试人员和红队执行的恶意活动。

在构建系统整体完整性至关重要的基础设施时，渗透测试变得关键。测试人员旨在使系统行为异常，并站在攻击者角度思考。金融行业应作为安全复杂性的典范，银行和其他金融机构的安全在显微镜下评估，需要遵守严格规定。投票系统本身是民主进程的关键部分，应受到与金融基础设施同等程度的审查。

信息安全专业人士、首席选举官员和选举委员会需要更紧密合作，重建对选举过程的信心。但为了让信息安全社区参与，我们必须获得这样做的机会。巴西政府举办活动测试其电子投票系统，这是创建可信投票基础设施的协作开放努力，本质上是全国性的渗透测试投资。其他国家和企业可以借鉴此模式。

虽然对投票过程审查的增加可能是疫情中的一线希望，但总有改进空间。我们必须继续在自身安全实践中运用网络安全知识，同时挑战和审查投票过程，为具有完整性的选举创建安全基础。