<div dir="ltr"><div>Yes, this is the one that I was thinking of.</div><div><br></div><div>I agree that going further than that would make things too confusing.</div><div><br></div><div>The nice thing about this is that it provides standard language that could result in a Q&A segment that allows users to be prompted for the threat level based on likelihood.</div><div><br></div><div>At some point, we're going to have to come up with some level of combinatorics to make this more reasonable.</div><div><br></div><div>As a quick couple of examples:</div><div><br></div><div>PAM is configured to allow remote root logins on a non-Internet facing system: Indeterminate<br></div><div>PAM is configured to allow remote root logins AND SSH is configured to allow root logins with a password: Moderate</div><div>PAM is configured to allow remote root logins AND SSH is configured to allow root logins with a blank password: Very High</div><div><br></div><div>If the system is Internet/untrusted network facing, these would need to be adjusted.</div><div><br></div><div>Trevor<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jun 18, 2019 at 9:21 PM Shawn Wells <<a href="mailto:shawn@redhat.com">shawn@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On 6/18/19 3:45 PM, Trevor Vaughan wrote:<br>
> At some point, these should probably be changed to correlate with the <br>
> Vulnerability Severity Assessment Scale as outlined in the NIST 800-30 <br>
> since it is well defined, a public standard at no cost, and 0-100 <br>
> which lines up with most people's internal "gut feeling".<br>
<br>
<br>
Sounds reasonable. Looks like "TABLE D-6: ASSESSMENT SCALE – RANGE OF <br>
EFFECTS FOR NON-ADVERSARIAL THREAT SOURCES" seems most applicable [0]. <br>
Is that what you were thinking?<br>
<br>
Worried the broader 800-30 requires advanced multidimensional <br>
calculus.... yes, could result in better ratings than the DISA scale, <br>
but if its to hard to use... nobody will use it.<br>
<br>
<br>
[0] Page 68 @ <br>
<a href="https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf" rel="noreferrer" target="_blank">https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf</a><br>
<br>
_______________________________________________<br>
Open-scap-list mailing list<br>
<a href="mailto:Open-scap-list@redhat.com" target="_blank">Open-scap-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/open-scap-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/open-scap-list</a></blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Trevor Vaughan<br>Vice President, Onyx Point, Inc<br></div><div>(410) 541-6699 x788<br></div><div><br>-- This account not approved for unencrypted proprietary information --</div></div></div></div></div>