Elevation of Privilege

Bedrohungsanalyse und Risikobewertung durch STRIDE

Das Spiel Elevation of Privilege ist der einfachste Weg, um ein Produkt, ein System oder eine Komponente unter Sicherheitsaspekten zu betrachten. Es ist eine Möglichkeit zur Bedrohungsmodellierung, die sich für jedes Produktentwicklungsteam eignet. Das Spiel verwendet das STRIDE-Bedrohungsmodell als Bedrohungsklassifikationsschema und liefert so einen Denkrahmen, der Sie bei der Suche nach konkreten und behandelbaren Bedrohungen unterstützt.

STRIDE Bedrohungsmodellierung TARA

Links für Moderation und Spieler erzeugen

Was ist Elevation of Privilege?

Bedrohungen schnell und strukturiert erkennen

Mit zunehmender Digitalisierung wachsen Komplexität und Angriffsfläche digitaler Software- und Hardware-Produkte. Elevation of Privilege hilft Entwickler-Teams, Bedrohungen für digitale Produkte wie Software und Computersysteme schnell, einfach und nachvollziehbar zu identifizieren.

Das Spiel basiert auf dem STRIDE-Bedrohungsmodell als Bedrohungsklassifikationsschema und liefert einen klaren Denkrahmen, um konkrete, nachvollziehbare und adressierbare Bedrohungen für Systeme und Anwendungen zu finden.

Diese Online-Version nutzt einen Seed aus beliebigen alphanumerischen Zeichen für die Verteilung der Karten an 2-32 Spieler. Der Moderations-Link öffnet eine Übersicht aller Karten, die mit den restlichen Spielern geteilt werden muss. Der Seed bestimmt die Verteilung der Karten, d. h. bei gleichem Seed ist die Verteilung ebenfalls gleich.

Das Spiel läuft vollständig lokal und baut keine Verbindungen nach außen auf. Alle Namen, Punktestände und gespielten Karten werden ausschließlich im lokalen Browser gespeichert und verlassen das Gerät nicht.

Anleitung

So wird Elevation of Privilege gespielt

  1. Zeichnen des Systemdiagramms, für das ein Bedrohungsmodell erstellt werden soll.
  2. Links erzeugen und an alle Spieler verteilen, ggf. Namen eintragen.
  3. Moderations-Link öffnen und den Bildschirm teilen.
  4. Das Spiel beginnt mit der Karte Tampering 3, die Reihenfolge ergibt sich anhand der Spielernummer.
  5. Wer an der Reihe ist, spielt eine Karte der gleichen Kategorie mit höherem Wert. Ist dies nicht möglich, wird eine beliebige andere Karte gespielt. Die Elevation of Privilege Karten dienen als Trumpf.
  6. Die ausgespielte Karte wird vom Host für alle geteilt und laut vorgelesen. Kann die Bedrohung auf das System angewendet werden, wird sie dokumentiert.
  7. Die Runde endet mit etwas Zeit, um die gefundenen Risiken zu besprechen.
  8. Wer die höchste Karte gespielt hat, erhält einen Punkt und darf die nächste Runde mit einer Karte seiner Wahl beginnen.