CAPEC
O que é CAPEC?
CAPECCommon Attack Pattern Enumeration and Classification, catalogo publico mantido pela MITRE com padroes de ataque usados pelos adversarios para explorar fraquezas conhecidas.
O CAPEC (Common Attack Pattern Enumeration and Classification) e um recurso comunitario gerido pela MITRE que descreve padroes comuns usados pelos adversarios para explorar fraquezas em software, hardware ou operacao. Cada entrada tem um CAPEC-ID unico, descricao, pre-requisitos, passos de ataque, fraquezas relacionadas (CWE) e mitigacoes, organizadas em hierarquias como Mechanisms of Attack e Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical). O CAPEC complementa CWE (fraquezas), CVE (vulnerabilidades) e ATT&CK (tecnicas reais) e e usado por threat modelers, revisoes de design seguro, red teams e ambito de pentests para enumerar cenarios de ataque concretos.
● Exemplos
- 01
Mapear CAPEC-66 (SQL Injection) para pontos de entrada concretos da aplicacao num workshop de threat modeling PASTA.
- 02
Checklist de design seguro que exige controlos para cada padrao CAPEC relevante nos fluxos de autenticacao.
● Perguntas frequentes
O que é CAPEC?
Common Attack Pattern Enumeration and Classification, catalogo publico mantido pela MITRE com padroes de ataque usados pelos adversarios para explorar fraquezas conhecidas. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa CAPEC?
Common Attack Pattern Enumeration and Classification, catalogo publico mantido pela MITRE com padroes de ataque usados pelos adversarios para explorar fraquezas conhecidas.
Como funciona CAPEC?
O CAPEC (Common Attack Pattern Enumeration and Classification) e um recurso comunitario gerido pela MITRE que descreve padroes comuns usados pelos adversarios para explorar fraquezas em software, hardware ou operacao. Cada entrada tem um CAPEC-ID unico, descricao, pre-requisitos, passos de ataque, fraquezas relacionadas (CWE) e mitigacoes, organizadas em hierarquias como Mechanisms of Attack e Domains of Attack (Software, Hardware, Supply Chain, Communications, Social Engineering, Physical). O CAPEC complementa CWE (fraquezas), CVE (vulnerabilidades) e ATT&CK (tecnicas reais) e e usado por threat modelers, revisoes de design seguro, red teams e ambito de pentests para enumerar cenarios de ataque concretos.
Como se defender contra CAPEC?
As defesas contra CAPEC costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para CAPEC?
Nomes alternativos comuns: Common Attack Pattern Enumeration and Classification, CAPEC.
● Termos relacionados
- appsec№ 1150
Modelagem de ameaças
Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.
- compliance№ 801
Modelo de ameacas PASTA
Process for Attack Simulation and Threat Analysis, metodologia de modelagem de ameacas em sete etapas centrada no risco que alinha ameacas tecnicas ao impacto de negocio.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- vulnerabilities№ 262
CWE (Common Weakness Enumeration)
Taxonomia comunitária de tipos de fraquezas de software e hardware — as classes de defeito que originam vulnerabilidades.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.