Az tudott dolog, hogy x, y, z komponens megborulása X, Y, Z mértékű problémát/kárt okoz. Ha megborul. Te azt mondod, hogy tesztelni kell _szándékos_ borogatással, én meg azt, hogy a problémát majd kezeljük akkor, ha bekövetkezik, de ne idézzük elő éles környezetben _szándékosan_. Én pl. még nem láttam olyan külső sérülékenységvizsgálatot, ahol azt mondta volna a megbízó, hogy a feltárt sérülékenységet tessék kihasználni és megborítani a rendszert.
Éles környezetben nem a probléma lehetséges _következményének_ hanem a problémának a bemutatása, feltárása kell legyen a cél. És pl. arra, hogy "egy credential-t hol használunk még" nem a káoszmajom, meg a credential lecserélése, és "ha valakinek fáj, majd szól" az üzletileg elfogadható megoldás, hanem az, hogy felderíteni a logokból, a hálózati forgalomból, a dokumentációkból és az üzemeltetők/alkalmazásgazdák tudásából, hog ymilyen kapcsolatok vannak, hol van még az adott hozzáférés használatban (és miért?), és amikor ebből az iterációból nem jön ki újabb felhasználás, akkor jöhet a kockázatelemzés, hogy szükséges-e ennek a cserélgetése, vagy maradhat fixen beállítva.