在2020年黑帽大会虚拟会议上，主题演讲者Matt Blaze分析了当前投票过程中的安全弱点，并敦促信息安全社区——特别是渗透测试人员——与选举委员会合作。他的观点是：测试人员可以通过探索和识别所有可能的利用选项、模拟危机场景的方法论，在保护投票过程中发挥不可替代的作用。

选举安全漏洞一：软件实现为远程入侵打开大门

修复建议：在软件开发生命周期早期进行定期安全测试，并在部署前实施自动化测试套件

软件几乎应用于我们所有的活动中，投票也不例外。虽然我们不能排除物理硬件网络攻击，但攻击软件是攻击者破坏选举的更简单、更常见方式，因为软件漏洞通常是通过引入病毒或恶意软件远程尝试的。

以电子投票登记册为例。全国许多投票点使用安装了投票登记册供应商软件的笔记本电脑和平板电脑来登记选民。虽然受损的电子投票登记册不会改变投票结果，但对这些设备的网络攻击可能导致延误，阻止人们投票。这个例子展示了软件在选举过程中的关键作用，但软件也广泛应用于选民登记、投票机、创建选票以及计票和制表。

这对商业环境中的安全专业人员意味着什么？用两个词概括：左移。产品开发和IT团队负责设定软件开发要求，并主动实施足够的完整性检查，以确保生态系统中没有篡改或恶意软件，并能够进行审计和分析。

这些自动化测试字段应在SDLC早期考虑，以确保漏洞不会出现在源代码中或在设计软件时出现。自动化测试套件不仅是软件设计的必要组成部分，还是在部署前测试系统的关键——在选举安全场景下就是选举日。设置更定期的测试里程碑和全面要求将有助于及时发出警报，并生成审计跟踪以了解病毒引入的时间和地点。

选举安全漏洞二：外部合作组织提供新的攻击面

修复建议：为所有合作伙伴设定并执行最低安全要求

全美各地的头条新闻报道了参议院特别情报委员会关于俄罗斯在2016年试图访问选举基础设施的报告。根据迄今发布的信息，国家支持的攻击者通过第三方组织——负责制造和管理选举相关软件和硬件的私人技术公司——访问网络，入侵了选民登记过程。现实情况是，大多数合作组织都连接到互联网，攻击者可以将其作为入口点执行恶意活动，如注入恶意软件。

攻击者从外部利用互联网漏洞访问安全弱点是安全事件的常见原因。以2013年著名的Target数据泄露事件为例。攻击者通过其HVAC供应商访问了Target的销售点系统，该供应商没有实施最低安全要求。或者最近的Instacart事件，第三方技术支持供应商的员工访问了超出必要范围的购物者资料。

为确保攻击者不会通过第三方合作伙伴进入网络，不能有任何薄弱环节。CISO必须确保所有合作组织都满足其监管机构规定的最低安全要求——并寻找超越监管要求、以主动方式处理安全问题的合作伙伴。最低安全要求通常包括多层保护，如在应用程序中构建行为分析能力以在受损时设置警报、定期进行代码审查和渗透测试、进行威胁建模以确保资产在不同信任边界受到保护等。

选举安全漏洞三：现有安全控制措施未按预期工作

修复建议：实施纵深防御策略并执行对抗模拟

在首席选举官的指导下，每个选举委员会都有某种形式的安全策略和威胁检测工具（防火墙、入侵检测等）——但他们如何知道这些工具工作正常？这就是纵深防御策略对任何组织都变得关键的地方，特别是在危机情况下。纵深防御提供多层安全保护，因此，如果一个工具失效或被篡改，还有备用措施来保护整个过程的完整性。

为确保检测控制和事件响应团队的有效性，对抗模拟是关键。如果控制措施配置不当，直到为时已晚、泄露已经发生时你才会知道。模拟还可以测试事件响应团队，看他们是否检测到由渗透测试人员和红队执行的恶意活动。

在处理和构建系统整体完整性至关重要的基础设施时，渗透测试变得至关重要。测试人员旨在使系统行为异常，并站在攻击者的角度思考。金融行业应被视为安全复杂性的典范。银行和其他金融机构的安全性在显微镜下进行评估，它们需要遵守严格的规定，如更频繁和彻底的测试，以更快地发现和修复漏洞。投票系统本身是民主进程的关键部分，理应受到与我们的金融基础设施相同程度的审查。

所有相关方需要为选举安全共同努力

我的最后建议是：信息安全专业人员、首席选举官和选举委员会需要更紧密地合作，以恢复对选举过程的信心。但是，为了让信息安全社区参与进来，我们必须获得这样做的机会。在我最近与ServiceTitan信息安全负责人Cassio Goldschmidt的对话中，他解释了巴西的选举安全流程。巴西政府举办活动测试其电子投票系统，使其成为创建可信投票基础设施的协作性和开放性努力，本质上是一项全国性的渗透测试投资。其他国家和企业可以借鉴这一模式。

虽然对投票过程的日益严格审查可能是疫情带来的一线希望，但总有改进的空间。我们必须继续在自己的安全实践中使用网络安全知识，同时也要挑战和审查投票过程，为具有完整性的选举创建安全基础。