<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif;" dir="ltr">
<p>Spot on Chris!<br>
</p>
<br>
<br>
<div style="color: rgb(0, 0, 0);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" color="#000000" face="Calibri, sans-serif"><b>From:</b> Chris Cooper <chris.cooper@owasp.org><br>
<b>Sent:</b> July 12, 2017 8:40 PM<br>
<b>To:</b> R M<br>
<b>Cc:</b> owasp-testing@lists.owasp.org<br>
<b>Subject:</b> Re: [Owasp-testing] Threat Agent Factors in OWASP Risk Rating Methodology</font>
<div> </div>
</div>
<div>
<div dir="ltr">To me, this argument depends on whether we are rating risks or vulnerabilities (spoiler: this is a risk rating methodology).
<div><br>
</div>
<div>Risks encompass vulnerabilities, but they also include the threat and impact. Because we are working with a particular threat (maybe worst-case-scenario), I think the existing system makes perfect sense. The more skilled the threat actor is, the higher
 the risk. We're not talking about how skilled a generic actor needs to be, we're talking about how skilled they are, and whether they are skilled enough. I think the former is irrelevant considering that the threat is already established.</div>
<div><br>
</div>
<div>If we were talking about how severe a vulnerability is, regardless of the threat or the business impact, then I see the point being made here. If we don't have a specific threat in mind, we should hinge on the ease of exploitation (which RRM includes within
 the vulnerability factors already). But I think this is a separate rating system, or reduced subset of RRM, not an indication that the RRM is incorrect.</div>
<div><br>
</div>
<div>Chris<br>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Wed, Jul 12, 2017 at 7:27 PM, R M <span dir="ltr"><<a href="mailto:kingthorin@hotmail.com" target="_blank">kingthorin@hotmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex; border-left:1px #ccc solid; padding-left:1ex">
<div dir="ltr">
<div id="m_-7588448864062788374divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Helvetica,sans-serif">
<p></p>
<div>I've always interpreted this in completely the opposite manner. <span>If Threat Agent goes towards the Likelihood part of the calculation a skilled individual should be of greater concern than an unskilled individual.</span><br>
"<span>Note that there may be multiple threat agents that can exploit a particular vulnerability, so it's usually best to use the worst-case scenario</span>."<br>
<br>
There has been lengthy discussion of this in the past as well, see this thread from Aug 2013:
<a href="http://lists.owasp.org/pipermail/owasp-testing/2013-August/002177.html" class="m_-7588448864062788374OWAAutoLink" id="m_-7588448864062788374LPlnk969857" target="_blank">
http://lists.owasp.org/<wbr>pipermail/owasp-testing/2013-<wbr>August/002177.html</a><br>
<br>
Rick<br>
<br>
-----<br>
Pichaya Morimoto pichaya at <a href="http://ieee.org" target="_blank">ieee.org</a><br>
Mon Jun 5 06:11:34 UTC 2017<br>
<br>
    Next message: [Owasp-testing] Threat Agent Factors in OWASP Risk Rating Methodology<br>
    Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]<br>
<br>
Hi guys,<br>
<br>
It seems that the OWASP RMM formula is incorrect.<br>
<br>
"Skill level<br>
How technically skilled is this group of threat agents? Security<br>
penetration skills (9), network and programming skills (6), advanced<br>
computer user (5), some technical skills (3), no technical skills (1)"<br>
<br>
<a href="https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Threat_Agent_Factors" target="_blank">https://www.owasp.org/index.<wbr>php/OWASP_Risk_Rating_<wbr>Methodology#Threat_Agent_<wbr>Factors</a><br>
<br>
<br>
If a vulnerability requires skilled threat actors.. that means it is<br>
unlikely that the vulnerability can be exploited so the likelihood should<br>
go down by the skill level factor.<br>
<br>
In short, skill level = level of skills required to perform the attack.<br>
<br>
9 Highly skilled required = low risk (1) because the flaw is limited by the<br>
number of good attackers.<br>
1 No technical skills required = high risk (9)  since everyone can attack<br>
the vulnerability... it is likely that the vulnerability will be exploited<br>
at any given time.<br>
<br>
You can't say that if the attacker is so good than the risk of<br>
vulnerability will get higher because<br>
1. We are talking about the risk of a particular vulnerability, not the<br>
risk of a threat agent here.<br>
2. Also, you cannot limit the skill of the attackers that could exploit the<br>
vulnerability as well (but yes, the intranet users are probably not as good<br>
as attackers from the internet?).<br>
3. The skill level is a subsection of likelihood factor not impact factor !<br>
Do not confuse impact of skill levels and possibility of being attacked by<br>
the attacker with a given skill level.<br>
<br>
I hope this will be fixed ASAP to make it more reasonable with the risk<br>
rating scenarios.<br>
Many thanks.</div>
<br>
<p></p>
</div>
</div>
<br>
______________________________<wbr>_________________<br>
Owasp-testing mailing list<br>
<a href="mailto:Owasp-testing@lists.owasp.org">Owasp-testing@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-testing" rel="noreferrer" target="_blank">https://lists.owasp.org/<wbr>mailman/listinfo/owasp-testing</a><br>
<br>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>