CAPEC und CWE sind zwei sich ergänzende Datenbanken, die von MITRE gepflegt werden, aber sie haben nicht das gleiche Ziel. CWE beschreibt technische Schwächen im Code oder Design (z. B. fehlende Eingabevalidierung), während CAPEC Angriffsmethoden beschreibt, die diese Schwächen ausnutzen (z. B. SQL-Injection).
Mit anderen Worten: CWE konzentriert sich auf die Ursache, während CAPEC sich auf die Handlung des Angreifers konzentriert. Beide können miteinander verbunden sein: Ein CAPEC-Modell gibt oft an, welche CWE es angreift, was es ermöglicht, die Verbindung zwischen der theoretischen Schwachstelle, der praktischen Ausnutzung und den zugehörigen CVEs herzustellen.
Fachleute für Cybersicherheit sind die Hauptnutzer von CAPEC: SOC-Analysten, Penetrationstester, Sicherheitsarchitekten, Entwickler, Ausbilder oder Threat-Intelligence-Teams. Sie nutzen es, um gegnerische Taktiken zu verstehen, Testszenarien vorzubereiten und die Abwehr zu stärken.
Beispielsweise kann ein Pentester ein CAPEC verwenden, um einen simulierten Angriff nach einem realistischen Szenario zu strukturieren. Ein Entwickler kann dort Hinweise auf Designfehler finden, die vermieden werden sollten. Ein CISO kann sie in Risikoanalysen integrieren, um die potenziellen Folgen einer technischen Schwäche besser zu veranschaulichen.