Als een bank een target is kom je er binnen zo simpel is dat. En daar gaat die test niets tegen doen.

Het is namelijk niet alleen die bank...het beslaat veel meer.

Maar goed in het kader van risk mitagation en eisen die gesteld worden en je niet gehackt wil worden door een scriptkiddy kan ik het me voorstellen.

Een red team oefening is ook niet bedoeld om de aanvallers buiten te houden. De bedoeling is o.a. om te testen hoe goed de aanwezige beveiligingsmaatregelen, interne security teams en processen werken op het moment dat een aanvaller binnen komt.
Hoe effectief zijn de security oplossingen die de bank heeft ingericht? Hoe snel wordt de aanvaller gedetecteerd? Hoe reageert het security team?
Van zo'n oefening kan iedere organisatie veel leren, omdat het red team (bijna) alle mogelijke middelen en aanvalsroutes kan gebruiken. Jouw terechte opmerking "Het is namelijk niet alleen die bank...het beslaat veel meer." is precies waar een Red Team gebruik van kan maken om hun doel te bereiken. En waar een bank op voorbereid moet zijn.

Prima uitgangspunt van je anoniem. Probleem/uitdaging is dat de bank er wel van wil leren.
De gangbare cultuur is een heel andere. Jezelf indekken voor de veroorzaakte ellende, doorschuiven naar opvolgers.
Als er ergens iets uit een audit komt wordt dat mogelijk politiek misbruikt om nog slechtere omgevingen neer te zetten.
Je moest eens weten hoe het in grote organisaties gaat.

Inderdaad. Om maar een voorbeeld te noemen. Elk bedrijf is als je kwaad wil 1 groot target ..lukt het niet op de ene manier dan wel op de andere.

Dit is al een foutief uitgangspunt "op het moment dat de aanvaller binnen komt..." Een aanvaller hoeft helemaal niet binnen te komen!!!! Daar gaat zo'n red team niets tegen doen...er is meer te beveiligen dan dat ze aan kunnen.

M.a.w. in mijn optiek blijft het toch een vals gevoel van veiligheid geven.

Maar ja het is beter dan niets...alles blijft Risk Mitigation en een hoop theoretisch gewauwel...

Het gaat criminelen maar om 1 ding en dat is het eind resultaat en hoe dat behaald wordt zal ze een zorg zijn zolang ze maar van de winst kunnen genieten. En dat deze uitspraak bepaalde partijen niet uit komt ..zal ze denk ik ook een zorg zijn.

Het enige wat ze zullen bereiken is dat de minder snuggere criminelen buitengesloten worden en de dijk wat hoger is en wellicht andere targets in het buitenland worden gezocht. Net zolang totdat die targets ook weer een "red team" opschakelen en we weer vrolijk terug bij af zijn.

Het enige wat je kan doen is zorgen dat jouw dijk iets hoger is dan de dijk van de buurman waardoor de zwarte zee bij je buurman binnen komt...in de valse illusie dat het zwarte water je nooit zal bereiken. Want het zou zo maar kunnen dat de dijk van je achtertuin een stuk lager is dan je dacht.

0.1% is namelijk voldoende daar waar wij de 100% proberen te halen...

Maar om het nou op te geven nee,,,ik laat mijn voordeur ook niet open staan terwijl ik weet dat die deur absoluut niet veilig is.

Mag het blue team ook mee doen ? ;)

Ik zit in een grote organisatie en zo gaat het bij ons absoluut niet. Een giftige bedrijfscultuur kan in elk bedrijf voorkomen en dat moet je dan per direct aanpassen, al was het maar om te voorkomen dat alle belangrijke medewerkers gaan lopen.
Je vergeet hier even dat elk groot bedrijf precies inzichtelijk heeft hoeveel geld er verloren is gegaan met criminaliteit en oplichting. Is dat getal laag, dan vinden er a) geen aanvallen plaats, b) kunnen de aanvallers niet binnenkomen of c) blijven de aanvallen hangen in de controleketen. Succesvolle criminelen zijn niet onzichtbaar!
Ja, die zit aan de andere kant (binnen het bedrijf dus).

Typisch een verschil van perceptie tussen lijnmanagement en degenen die op de vloer rondstruinen. Heel herkenbaar.

Ik denk dat je zicht op het geheel wat beperkt is (zonder je te willen aanvallen) Ik heb bij alle grote ict bedrijven gewerkt en ik heb misstanden bij al die bedrijven gezien tot en met regelrechte oplichting vd overheid. En dat doen ze nog steeds.

Het is gewoon heel simpel de betrokkenen verdienen dijken van salarissen en anderen worden de mond gesnoerd met allerlei methodieken. Tot en met in directe bedreigingen toe.

Het is maar hoe hoog en waar je in de boom zit. Corruptie is werkelijk overal. Bij ons is echter de verpakking er om heen wat mooier.