CAPEC
Was ist CAPEC?
CAPECCommon Attack Pattern Enumeration and Classification, ein von MITRE gepflegter offentlicher Katalog von Angriffsmustern, mit denen Angreifer bekannte Schwachstellen ausnutzen.
CAPEC (Common Attack Pattern Enumeration and Classification) ist eine von MITRE betreute Community-Ressource, die typische Muster beschreibt, mit denen Angreifer Schwachen in Software, Hardware oder Betrieb ausnutzen. Jeder Eintrag hat eine eindeutige CAPEC-ID, Beschreibung, Voraussetzungen, Angriffsschritte, verwandte Weaknesses (CWE) und Mitigations und ist in Hierarchien wie Mechanisms of Attack und Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical) gegliedert. CAPEC erganzt CWE (Weaknesses), CVE (Vulnerabilities) und ATT&CK (reale Techniken) und wird von Threat Modelern, Secure-Design-Reviewern, Red Teams und Pentest-Scoping eingesetzt, um konkrete Angriffsszenarien zu enumerieren.
● Beispiele
- 01
Mapping von CAPEC-66 (SQL Injection) auf konkrete Anwendungs-Entry-Points in einem PASTA-Threat-Modeling-Workshop.
- 02
Eine Secure-Design-Checkliste, die fur jedes fur Auth-Flows relevante CAPEC-Pattern Kontrollen verlangt.
● Häufige Fragen
Was ist CAPEC?
Common Attack Pattern Enumeration and Classification, ein von MITRE gepflegter offentlicher Katalog von Angriffsmustern, mit denen Angreifer bekannte Schwachstellen ausnutzen. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet CAPEC?
Common Attack Pattern Enumeration and Classification, ein von MITRE gepflegter offentlicher Katalog von Angriffsmustern, mit denen Angreifer bekannte Schwachstellen ausnutzen.
Wie funktioniert CAPEC?
CAPEC (Common Attack Pattern Enumeration and Classification) ist eine von MITRE betreute Community-Ressource, die typische Muster beschreibt, mit denen Angreifer Schwachen in Software, Hardware oder Betrieb ausnutzen. Jeder Eintrag hat eine eindeutige CAPEC-ID, Beschreibung, Voraussetzungen, Angriffsschritte, verwandte Weaknesses (CWE) und Mitigations und ist in Hierarchien wie Mechanisms of Attack und Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical) gegliedert. CAPEC erganzt CWE (Weaknesses), CVE (Vulnerabilities) und ATT&CK (reale Techniken) und wird von Threat Modelern, Secure-Design-Reviewern, Red Teams und Pentest-Scoping eingesetzt, um konkrete Angriffsszenarien zu enumerieren.
Wie schützt man sich gegen CAPEC?
Schutzmaßnahmen gegen CAPEC kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CAPEC?
Übliche alternative Bezeichnungen: Common Attack Pattern Enumeration and Classification, CAPEC.
● Verwandte Begriffe
- appsec№ 1150
Bedrohungsmodellierung
Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.
- compliance№ 801
PASTA-Threat-Model
Process for Attack Simulation and Threat Analysis, eine risikoorientierte, siebenstufige Methodik fur Threat Modeling, die technische Bedrohungen mit Geschaftsfolgen verknupft.
- compliance№ 687
MITRE ATT&CK
Global zugängliche, von MITRE gepflegte Wissensdatenbank über Taktiken und Techniken realer Angreifer.
- vulnerabilities№ 262
CWE (Common Weakness Enumeration)
Eine community-gepflegte Taxonomie von Software- und Hardware-Schwächetypen – die zugrunde liegenden Fehlerklassen, die zu Schwachstellen führen.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.