<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p></p>
<div>I've always interpreted this in completely the opposite manner. <span>If Threat Agent goes towards the Likelihood part of the calculation a skilled individual should be of greater concern than an unskilled individual.</span><br>
"<span>Note that there may be multiple threat agents that can exploit a particular vulnerability, so it's usually best to use the worst-case scenario</span>."<br>
<br>
There has been lengthy discussion of this in the past as well, see this thread from Aug 2013:
<a href="http://lists.owasp.org/pipermail/owasp-testing/2013-August/002177.html" class="OWAAutoLink" id="LPlnk969857" previewremoved="true">
http://lists.owasp.org/pipermail/owasp-testing/2013-August/002177.html</a><br>
<br>
Rick<br>
<br>
-----<br>
Pichaya Morimoto pichaya at ieee.org<br>
Mon Jun 5 06:11:34 UTC 2017<br>
<br>
    Next message: [Owasp-testing] Threat Agent Factors in OWASP Risk Rating Methodology<br>
    Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]<br>
<br>
Hi guys,<br>
<br>
It seems that the OWASP RMM formula is incorrect.<br>
<br>
"Skill level<br>
How technically skilled is this group of threat agents? Security<br>
penetration skills (9), network and programming skills (6), advanced<br>
computer user (5), some technical skills (3), no technical skills (1)"<br>
<br>
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors<br>
<br>
<br>
If a vulnerability requires skilled threat actors.. that means it is<br>
unlikely that the vulnerability can be exploited so the likelihood should<br>
go down by the skill level factor.<br>
<br>
In short, skill level = level of skills required to perform the attack.<br>
<br>
9 Highly skilled required = low risk (1) because the flaw is limited by the<br>
number of good attackers.<br>
1 No technical skills required = high risk (9)  since everyone can attack<br>
the vulnerability... it is likely that the vulnerability will be exploited<br>
at any given time.<br>
<br>
You can't say that if the attacker is so good than the risk of<br>
vulnerability will get higher because<br>
1. We are talking about the risk of a particular vulnerability, not the<br>
risk of a threat agent here.<br>
2. Also, you cannot limit the skill of the attackers that could exploit the<br>
vulnerability as well (but yes, the intranet users are probably not as good<br>
as attackers from the internet?).<br>
3. The skill level is a subsection of likelihood factor not impact factor !<br>
Do not confuse impact of skill levels and possibility of being attacked by<br>
the attacker with a given skill level.<br>
<br>
I hope this will be fixed ASAP to make it more reasonable with the risk<br>
rating scenarios.<br>
Many thanks.</div>
<br>
<p></p>
</div>
</body>
</html>