FAQ

CAPEC steht für Common Attack Pattern Enumeration and Classification. Es handelt sich um eine strukturierte Wissensdatenbank, die von MITRE entwickelt wurde und bekannte Angriffsmuster auflistet und beschreibt, die gegen Computersysteme eingesetzt werden. Im Gegensatz zu einzelnen Vorfällen beschreiben CAPECs wiederverwendbare Strategien, mit denen Angreifer Schwachstellen ausnutzen können.

Jedes CAPEC-Muster ist eine abstrakte Darstellung eines bösartigen Verhaltens: Es erklärt, wie ein Angriff durchgeführt wird, welche Art von Schwäche er anvisiert und zu welchem Zweck. Das Ziel von CAPEC ist es, Sicherheitsexperten dabei zu helfen, die von Angreifern verwendeten Taktiken besser zu verstehen, zu erkennen und vorherzusehen.

CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).

Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.

Die offizielle Quelle der CAPEC-Datenbank ist die Website von MITRE. Dieses Portal ermöglicht es, alle Muster nach Angriffsart, Komplexität, Ziel oder auch nach Grad der Raffinesse zu durchsuchen. Jedes Datenblatt enthält präzise Definitionen, Beispiele und Links zu anderen nützlichen Ressourcen (CWE, ATT&CK usw.).

Das CWE Top 25 ist eine jährliche Liste der 25 gefährlichsten Schwachstellen in Bezug auf Softwaresicherheit. Sie wird von MITRE auf der Grundlage öffentlicher Daten aus der NVD (National Vulnerability Database) und anderen Quellen erstellt, wobei die Häufigkeit und die Auswirkungen von Schwachstellen analysiert werden, die mit realen CVEs verbunden sind.

Dieses Ranking ist für Entwickler und Sicherheitsteams von großem Wert, da es die häufigsten und kritischsten Fehler wie Injections, Buffer Overflows oder Authentifizierungsprobleme aufzeigt. Durch die Konzentration auf diese prioritären Schwachstellen können Unternehmen ihre Sicherheitslage auch mit begrenzten Ressourcen schnell verbessern.

Die CWE-Liste wird von der MITRE Corporation gepflegt, derselben Organisation, die das CVE-Programm verwaltet. MITRE wird vom US-amerikanischen Ministerium für Heimatschutz (DHS) und anderen öffentlichen und privaten Akteuren unterstützt, um diese Wissensdatenbank zu entwickeln und zu aktualisieren.

Die Community spielt ebenfalls eine Schlüsselrolle: Forscher, Herausgeber, Regierungen und Industrie können neue Schwächen vorschlagen, Änderungen anregen oder Feedback zur Nützlichkeit bestehender Einträge geben. Die Datenbank ist öffentlich, online frei zugänglich und wird kontinuierlich erweitert, um die Entwicklungen in Technologien und Angriffstechniken widerzuspiegeln.

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.