FAQ

I pattern di attacco CAPEC servono a documentare le tattiche e le tecniche utilizzate dagli attaccanti per sfruttare i sistemi. Studiandoli, gli analisti della sicurezza, gli sviluppatori e gli architetti possono comprendere gli obiettivi di un attacco, le sue fasi tipiche e le vulnerabilità sfruttate. Ciò consente di anticipare le minacce e di progettare contromisure più efficaci.

Sono anche utili per la formazione, l'analisi dei rischi, la simulazione di attacchi (red teaming) o l'implementazione di controlli di sicurezza difensivi. Collegando i CAPEC ai CWE e ai CVE, è possibile stabilire una catena completa che va dalla debolezza allo sfruttamento concreto, il che arricchisce gli approcci di threat modeling o di sicurezza by design.

I professionisti della cybersecurity sono i principali utilizzatori dei CAPEC: analisti SOC, esperti di penetration testing, architetti della sicurezza, sviluppatori, formatori o team di threat intelligence. Li utilizzano per comprendere le tattiche degli avversari, preparare scenari di test e rafforzare le difese.

Ad esempio, un pentester può utilizzare un CAPEC per strutturare un attacco simulato secondo uno scenario realistico. Uno sviluppatore può trovarvi indicazioni sugli errori di progettazione da evitare. Un CISO può integrarli nelle analisi dei rischi per illustrare meglio le potenziali conseguenze di una debolezza tecnica.

CAPEC significa Common Attack Pattern Enumeration and Classification. È una base di conoscenza strutturata sviluppata da MITRE che elenca e descrive i modelli di attacco noti utilizzati contro i sistemi informatici. A differenza degli incidenti isolati, i CAPEC descrivono strategie riutilizzabili dagli aggressori per sfruttare le vulnerabilità.

Ogni modello CAPEC è una rappresentazione astratta di un comportamento dannoso: spiega come viene condotto un attacco, quale tipo di debolezza mira e con quale obiettivo. L'obiettivo di CAPEC è aiutare i professionisti della sicurezza a comprendere, rilevare e anticipare meglio le tattiche utilizzate dagli aggressori.

CAPEC fornisce una struttura dettagliata per riprodurre scenari di attacco realistici, rendendolo una risorsa preziosa per le simulazioni. Ogni modello descrive i prerequisiti, le fasi di esecuzione, i target, i vettori di attacco, nonché i potenziali obiettivi dell'attaccante. Ciò consente ai team di sicurezza di progettare esercizi di red teaming o di threat modeling ben strutturati.

Ad esempio, un tester può scegliere un modello CAPEC di attacco brute force su un servizio di rete e utilizzarlo come base per valutare la robustezza di un'applicazione. Questo approccio rende i test più coerenti e facilita la documentazione dei risultati e delle raccomandazioni.

CAPEC e CWE sono due database complementari gestiti da MITRE, ma non hanno lo stesso obiettivo. CWE descrive le debolezze tecniche nel codice o nella progettazione (es: mancanza di convalida dell'input), mentre CAPEC descrive i metodi di attacco che sfruttano queste debolezze (es: SQL injection).

In altre parole, CWE si concentra sulla causa, mentre CAPEC si concentra sull'azione dell'attaccante. I due possono essere collegati: un modello CAPEC specifica spesso quali CWE prende di mira, il che consente di collegare la vulnerabilità teorica, lo sfruttamento pratico e i CVE associati.

La fonte ufficiale del database CAPEC è il sito web di MITRE. Questo portale permette di esplorare tutti i modelli classificati per tipo di attacco, per complessità, per target, o ancora per livello di sofisticazione. Ogni scheda è accompagnata da definizioni precise, da esempi, e da link verso altre risorse utili (CWE, ATT&CK, ecc.).