<div dir="ltr"><div><div><div><div>"How technically skilled is this group of threat agents? Security 
penetration skills (1), network and programming skills (3), advanced 
computer user (4), some technical skills (6), no technical skills (9)"<br><br></div>This entire section should probably be redesigned to reflect the level of resources an attacker has rather than technical skill.  Time and money are great equalizers to skill because you can always train or develop the skills needed (usually quite quickly for a specific vulnerability), or you can outright hire someone to design an exploit for you.  A sufficiently motivated attacker with sufficient resources probably poses a greater threat than a group of the most l33t hackers who author exploits for money.<br>
<br></div><div>By the same token, under vulnerability factors, the following should probably be replaced:<br>"How easy is it for this group of threat agents to actually exploit this vulnerability? Theoretical (1), difficult (3), easy (5), automated tools available (9) "<br>
<br></div><div>The spectrum is really something more like : "Probably Not Exploitable (1), Exploitable(5), Reliably Exploitable (9)"<br><br></div><div>It is probably worth revisiting the model as a whole, and a team could also provide a catalogue of sample threat agents and their scores as well.<br>
<br></div><div>Anyone else interested in working on this?<br></div><div><br></div></div></div></div>