FAQ

CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).

Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.

Das CWE Top 25 ist eine jährliche Liste der 25 gefährlichsten Schwachstellen in Bezug auf Softwaresicherheit. Sie wird von MITRE auf der Grundlage öffentlicher Daten aus der NVD (National Vulnerability Database) und anderen Quellen erstellt, wobei die Häufigkeit und die Auswirkungen von Schwachstellen analysiert werden, die mit realen CVEs verbunden sind.

Dieses Ranking ist für Entwickler und Sicherheitsteams von großem Wert, da es die häufigsten und kritischsten Fehler wie Injections, Buffer Overflows oder Authentifizierungsprobleme aufzeigt. Durch die Konzentration auf diese prioritären Schwachstellen können Unternehmen ihre Sicherheitslage auch mit begrenzten Ressourcen schnell verbessern.

Eine CWE (Common Weakness Enumeration) ist eine standardisierte Klassifizierung von Schwachstellen, die zu Anfälligkeiten in Software, Firmware oder Systemen führen können. Im Gegensatz zu CVEs, die spezifische und dokumentierte Schwachstellen in einem bestimmten Produkt bezeichnen, beschreiben CWEs Arten von Design- oder Programmierfehlern, die die Sicherheit eines Systems beeinträchtigen können.

Beispielsweise kann eine CWE eine fehlerhafte Speicherverwaltung, eine Befehlsinjektion oder eine unzureichende Validierung von Eingaben beschreiben. Diese Schwachstellen können dann in verschiedenen Softwareprodukten erkannt und mit einzelnen CVEs verknüpft werden, wenn sie in einem realen Kontext ausgenutzt werden.

Die CWE-Liste wird von der MITRE Corporation gepflegt, derselben Organisation, die das CVE-Programm verwaltet. MITRE wird vom US-amerikanischen Ministerium für Heimatschutz (DHS) und anderen öffentlichen und privaten Akteuren unterstützt, um diese Wissensdatenbank zu entwickeln und zu aktualisieren.

Die Community spielt ebenfalls eine Schlüsselrolle: Forscher, Herausgeber, Regierungen und Industrie können neue Schwächen vorschlagen, Änderungen anregen oder Feedback zur Nützlichkeit bestehender Einträge geben. Die Datenbank ist öffentlich, online frei zugänglich und wird kontinuierlich erweitert, um die Entwicklungen in Technologien und Angriffstechniken widerzuspiegeln.

CWEs sind in zahlreiche Tools zur Analyse von Quellcode, zur Sicherheitsüberprüfung oder zum Management von Schwachstellen integriert, um potenzielle Schwächen in Software automatisch zu identifizieren. Durch das Verständnis, welche CWEs in einem System vorhanden sind, können Teams die Angriffsfläche abschätzen, zukünftige Bedrohungen antizipieren und Korrekturen priorisieren, bevor eine Schwachstelle zu einer ausnutzbaren CVE wird.

Sie ermöglichen auch die Erstellung von Risikoprofilen für Projekte oder Produkte, basierend auf der Art und Anzahl der identifizierten Schwachstellen. Dies erleichtert die Entscheidungsfindung für CISOs, CIOs oder Compliance-Verantwortliche, insbesondere bei DevSecOps-Ansätzen oder bei Bewertungen nach Rahmenwerken wie NIST oder ISO 27002.

CWEs sind abstrakte Muster von Schwachstellen, während CVEs konkrete Vorfälle sind. Eine CVE repräsentiert eine identifizierte Schwachstelle in einer bestimmten Software oder einem bestimmten System, während eine CWE eine generische Schwäche im Code oder der Architektur beschreibt, ohne notwendigerweise ausgenutzt zu werden.

Nehmen wir ein Beispiel: Eine CVE könnte sich auf eine SQL-Injection in einer Webanwendung beziehen, während die entsprechende CWE CWE-89 wäre: Improper Neutralization of Special Elements used in an SQL Command. Zusammenfassend lässt sich sagen, dass CWEs zur Kategorisierung und Analyse von Schwachstellen dienen, während CVEs es ermöglichen, diese individuell zu verfolgen und zu beheben.

CAPEC-Angriffsmuster dienen dazu, die von Angreifern verwendeten Taktiken und Techniken zu dokumentieren, um Systeme auszunutzen. Durch deren Studium können Sicherheitsanalysten, Entwickler und Architekten die Ziele eines Angriffs, seine typischen Schritte und die ausgenutzten Schwachstellen verstehen. Dies ermöglicht es, Bedrohungen zu antizipieren und wirksamere Gegenmaßnahmen zu entwickeln.

Sie sind auch nützlich für Schulungen, Risikoanalysen, Angriffssimulationen (Red Teaming) oder die Einrichtung defensiver Sicherheitskontrollen. Durch die Verknüpfung von CAPEC mit CWE und CVE kann eine vollständige Kette von der Schwäche bis zur konkreten Ausnutzung erstellt werden, was den Threat-Modeling- oder Security-by-Design-Ansatz bereichert.

Die CWE-Klassifizierung dient dazu, das Verständnis von Sicherheitslücken in IT-Systemen zu standardisieren. Sie hilft Entwicklern, Testern und Analysten, häufige Design- oder Programmierfehler zu identifizieren, um sie zu vermeiden oder effizienter zu beheben. Dank dieser Taxonomie können Sicherheitstools konsistente und verwertbare Berichte erstellen.

Sie ist auch sehr nützlich für die Schulung von technischen Teams, die Bewertung von Erkennungswerkzeugen, die Priorisierung von Risiken und die Einhaltung bestimmter Normen wie ISO/IEC 27001. Durch die Integration von CWE in die Entwicklungsprozesse kann die Sicherheit bereits in der Entwurfsphase deutlich verbessert werden.