<!-- This file has been automatically generated. See web/README.md -->

<div id="compose-container" style="direction: ltr" itemscope="" itemtype="https://schema.org/EmailMessage">
        <span itemprop="creator" itemscope="" itemtype="https://schema.org/Organization">
                <span itemprop="name" content="Outlook Mobile for iOS"></span>
        </span>   
        <div>
                
                <div style="direction: ltr;">Hello,</div><div><br></div><div style="direction: ltr;">I agree with Pichaya. I brought up the same topic a while ago, but haven't had the time to actually adapt the Wiki Page: <a dir="ltr" href="http://marc.info/?l=owasp-testing&m=131118369600489&w=2" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="0">http://marc.info/?l=owasp-testing&m=131118369600489&w=2</a></div><div><br></div><div style="direction: ltr;">I somewhat wonder if it is worth the update. Those factors are extremely finegrained and overlap (ease of exploitation). It does not really address the 'is exploit in the wild' or even worse 'is wormable' factor and apart from that a pure linear numeric method is mostly an oversimplification.</div><div><br></div><div style="direction: ltr;">Besides there is some conflict with CVSS. </div><div><br></div><div style="direction: ltr;">Anyway, I request Wiki access and will invert the scoring . But my preference would be to remove that factor and add the 'in the wild' criteria to ease of exploitation.</div>
                <div><br></div>
                <div class="acompli_signature">Gruss<br>Bernd<br>-- <br><a dir="ltr" href="http://bernd.eckenfels.net" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="1">http://bernd.eckenfels.net</a></div>
        <div class="gmail_quote">_____________________________<br>From: Pichaya Morimoto <<a dir="ltr" href="mailto:pichaya@ieee.org" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="2">pichaya@ieee.org</a>><br>Sent: Montag, Juni 5, 2017 8:12 AM<br>Subject: [Owasp-testing] Threat Agent Factors in OWASP Risk Rating        Methodology<br>To:  <<a dir="ltr" href="mailto:owasp-testing@lists.owasp.org" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="3">owasp-testing@lists.owasp.org</a>><br><br><br><div dir="ltr"><div>Hi guys,</div><div><br></div><div>It seems that the OWASP RMM formula is incorrect.</div><div><br></div><div>"Skill level</div><div>How technically skilled is this group of threat agents? Security penetration skills (9), network and programming skills (6), advanced computer user (5), some technical skills (3), no technical skills (1)"</div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors">https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors</a> </div><div><br></div><div>If a vulnerability requires skilled threat actors.. that means it is unlikely that the vulnerability can be exploited so the likelihood should go down by the skill level factor.</div><div><br></div><div>In short, skill level = level of skills required to perform the attack. </div><div><br></div><div>9 Highly skilled required = low risk (1) because the flaw is limited by the number of good attackers.</div><div>1 No technical skills required = high risk (9)  since everyone can attack the vulnerability... it is likely that the vulnerability will be exploited at any given time.</div><div><br></div><div>You can't say that if the attacker is so good than the risk of vulnerability will get higher because </div><div>1. We are talking about the risk of a particular vulnerability, not the risk of a threat agent here.</div><div>2. Also, you cannot limit the skill of the attackers that could exploit the vulnerability as well (but yes, the intranet users are probably not as good as attackers from the internet?).</div><div>3. The skill level is a subsection of likelihood factor not impact factor ! Do not confuse impact of skill levels and possibility of being attacked by the attacker with a given skill level.</div><div><br></div><div>I hope this will be fixed ASAP to make it more reasonable with the risk rating scenarios.</div><div>Many thanks.</div></div><br><br></div></div>
</div>