FAQ

CAPEC steht für Common Attack Pattern Enumeration and Classification. Es handelt sich um eine strukturierte Wissensdatenbank, die von MITRE entwickelt wurde und bekannte Angriffsmuster auflistet und beschreibt, die gegen Computersysteme eingesetzt werden. Im Gegensatz zu einzelnen Vorfällen beschreiben CAPECs wiederverwendbare Strategien, mit denen Angreifer Schwachstellen ausnutzen können.

Jedes CAPEC-Muster ist eine abstrakte Darstellung eines bösartigen Verhaltens: Es erklärt, wie ein Angriff durchgeführt wird, welche Art von Schwäche er anvisiert und zu welchem Zweck. Das Ziel von CAPEC ist es, Sicherheitsexperten dabei zu helfen, die von Angreifern verwendeten Taktiken besser zu verstehen, zu erkennen und vorherzusehen.

CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).

Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.

Die offizielle Quelle der CAPEC-Datenbank ist die Website von MITRE. Dieses Portal ermöglicht es, alle Muster nach Angriffsart, Komplexität, Ziel oder auch nach Grad der Raffinesse zu durchsuchen. Jedes Datenblatt enthält präzise Definitionen, Beispiele und Links zu anderen nützlichen Ressourcen (CWE, ATT&CK usw.).

Fachleute für Cybersicherheit sind die Hauptnutzer von CAPEC: SOC-Analysten, Penetrationstester, Sicherheitsarchitekten, Entwickler, Ausbilder oder Threat-Intelligence-Teams. Sie nutzen es, um gegnerische Taktiken zu verstehen, Testszenarien vorzubereiten und die Abwehr zu stärken.

Beispielsweise kann ein Pentester ein CAPEC verwenden, um einen simulierten Angriff nach einem realistischen Szenario zu strukturieren. Ein Entwickler kann dort Hinweise auf Designfehler finden, die vermieden werden sollten. Ein CISO kann sie in Risikoanalysen integrieren, um die potenziellen Folgen einer technischen Schwäche besser zu veranschaulichen.

CAPEC bietet eine detaillierte Struktur zur Nachbildung realistischer Angriffsszenarien, was es zu einer wertvollen Ressource für Simulationen macht. Jedes Muster beschreibt die Voraussetzungen, die Ausführungsschritte, die Ziele, die Angriffsvektoren sowie die potenziellen Ziele des Angreifers. Dies ermöglicht es Sicherheitsteams, gut strukturierte Red-Teaming- oder Threat-Modeling-Übungen zu konzipieren.

Beispielsweise kann ein Tester ein CAPEC-Muster für einen Brute-Force-Angriff auf einen Netzwerkdienst auswählen und es als Grundlage verwenden, um die Robustheit einer Anwendung zu bewerten. Dieser Ansatz macht die Tests konsistenter und erleichtert die Dokumentation der Ergebnisse und Empfehlungen.

CAPEC-Angriffsmuster dienen dazu, die von Angreifern verwendeten Taktiken und Techniken zu dokumentieren, um Systeme auszunutzen. Durch deren Studium können Sicherheitsanalysten, Entwickler und Architekten die Ziele eines Angriffs, seine typischen Schritte und die ausgenutzten Schwachstellen verstehen. Dies ermöglicht es, Bedrohungen zu antizipieren und wirksamere Gegenmaßnahmen zu entwickeln.

Sie sind auch nützlich für Schulungen, Risikoanalysen, Angriffssimulationen (Red Teaming) oder die Einrichtung defensiver Sicherheitskontrollen. Durch die Verknüpfung von CAPEC mit CWE und CVE kann eine vollständige Kette von der Schwäche bis zur konkreten Ausnutzung erstellt werden, was den Threat-Modeling- oder Security-by-Design-Ansatz bereichert.