FAQ

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.

CAPEC-Angriffsmuster dienen dazu, die von Angreifern verwendeten Taktiken und Techniken zu dokumentieren, um Systeme auszunutzen. Durch deren Studium können Sicherheitsanalysten, Entwickler und Architekten die Ziele eines Angriffs, seine typischen Schritte und die ausgenutzten Schwachstellen verstehen. Dies ermöglicht es, Bedrohungen zu antizipieren und wirksamere Gegenmaßnahmen zu entwickeln.

Sie sind auch nützlich für Schulungen, Risikoanalysen, Angriffssimulationen (Red Teaming) oder die Einrichtung defensiver Sicherheitskontrollen. Durch die Verknüpfung von CAPEC mit CWE und CVE kann eine vollständige Kette von der Schwäche bis zur konkreten Ausnutzung erstellt werden, was den Threat-Modeling- oder Security-by-Design-Ansatz bereichert.