<div dir="ltr"><div>Hi guys,</div><div><br></div><div>It seems that the OWASP RMM formula is incorrect.</div><div><br></div><div>"Skill level</div><div>How technically skilled is this group of threat agents? Security penetration skills (9), network and programming skills (6), advanced computer user (5), some technical skills (3), no technical skills (1)"</div><div><br></div><div><a href="https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors">https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors</a> </div><div><br></div><div>If a vulnerability requires skilled threat actors.. that means it is unlikely that the vulnerability can be exploited so the likelihood should go down by the skill level factor.</div><div><br></div><div>In short, skill level = level of skills required to perform the attack. </div><div><br></div><div>9 Highly skilled required = low risk (1) because the flaw is limited by the number of good attackers.</div><div>1 No technical skills required = high risk (9)  since everyone can attack the vulnerability... it is likely that the vulnerability will be exploited at any given time.</div><div><br></div><div>You can't say that if the attacker is so good than the risk of vulnerability will get higher because </div><div>1. We are talking about the risk of a particular vulnerability, not the risk of a threat agent here.</div><div>2. Also, you cannot limit the skill of the attackers that could exploit the vulnerability as well (but yes, the intranet users are probably not as good as attackers from the internet?).</div><div>3. The skill level is a subsection of likelihood factor not impact factor ! Do not confuse impact of skill levels and possibility of being attacked by the attacker with a given skill level.</div><div><br></div><div>I hope this will be fixed ASAP to make it more reasonable with the risk rating scenarios.</div><div>Many thanks.</div></div>