EoP을 이용한 위협 모델링

위협 모델링은 소프트웨어의 보안 설계 결함을 찾기 위한 기술입니다. 프라이버시를 염두에 둔 Elevation of Privilege 카드 게임은 Microsoft의 Adam Shostack이 원래 개발하였고, LogMeIn의 Mark Vinkovits에 의해 프라이버시 요소가 추가되었습니다.

이 템플릿은 엔지니어링 팀과 함께 하는 원격 위협 모델링 연습을 위한 것입니다. 저는 종종 원격 팀과 함께 위협 모델링 연습을 수행하는데, 보드에 지침, 카드, 게임 플레이를 위한 섹션을 미리 준비해 두면 회의를 진행하는 것이 훨씬 수월합니다.

보드를 준비하려면:

• 보드의 각 섹션에 아키텍처 다이어그램을 추가합니다;

• 다이어그램을 고정합니다;

• 스티커 메모를 선택하고 앞으로 가져옵니다 (이동할 때 다이어그램 뒤로 가지 않도록).

각 플레이어에게 개별적으로 카드 목록(플레이어의 손)을 배포하고, 보드에 접근할 수 있도록 권한을 부여해야 합니다. 온라인 크루피어를 사용하여 게임용 카드를 준비할 수도 있습니다.