侵入行為を避けることはできない。Pena氏も述べているように、これが「われわれの住んでいる世界」の真実なのだ。しかし、それ自体は機密情報や知的財産といったデータ等が盗まれてしまうという意味を持っているわけではない。Pena氏によると、しっかりしたセキュリティを目指すのであれば、最初の侵入から大きな損害が発生するまでの時間とされている12時間以内に検知および対応を行えるようにしておく必要があるという。
Pena氏は「何らかの被害を発生させる前に侵入者を閉め出せれば、大きな問題には至らない」と述べた。
ここでレッドチームという発想が登場する。とは言うものの、攻撃チームを用いてセキュリティの評価を行う場合には、それなりの準備が必要となる。まずはこういった計画についてマネジメントからの了承を得る必要がある。そしてレッドチームには、ネットワークへの侵入にはどのような手を使っても構わないという許可を与えなければならない(実世界の悪人たちと条件を同じにするわけだ)。
次に、実際の攻撃許可を与える前に重要な資産を洗い出しておく必要がある。業務に必須となるデータを洗い出したのであれば、それを標的として定め、会社として保護しなければならない業務分野(それがデータであろうと人であろうとシステムであろうと)を集中的に狙っても構わないという許可を与えることになる。
その後、会社の内外を問わず、才能ある人材を確保してレッドチームを編成する。このチームは侵入検知をかいくぐるとともに、社内のセキュリティチームの裏をかくために、最新の技術を理解し、実世界において攻撃者が実際に使用している手法に精通している必要がある。
Pena氏は、「この仕事に適切な人材を確保することが極めて重要」であり、そういった人材は標的型攻撃と脆弱性の利用方法に関する現実に即した経験を提供できるとともに、カスタマイズしたツールや秘密裏に行動するテクニックを用いて人々やプロセス、テクノロジを出し抜こうとする能力を有していなければならないと述べた。
レッドチームが攻撃を完了した段階で、企業は同チームが洗い出した成果に基づいてセキュリティの向上を図れるようになる。しかし、レッドチームの成果からできるだけ多くの教訓を得ようとするのであれば、友好的なサイバー攻撃の効果を最大限に高めるために、以下のやるべきこととやってはいけないことを明確にしておく必要がある。
