مفاهيم أمن المعلومات
يعد أمن المعلومات مجالًا واسعًا يسهل ضياعه في منطقة واحدة وفقدان المنظور. يغطي الانضباط كل شيء بدءًا من ارتفاع بناء السياج خارج نطاق عملك ، وصولاً إلى كيفية تقوية خادم Windows 2003. ومع ذلك ، من المهم أن تتذكر ألا تنشغل بالتفاصيل. ترتبط كل ممارسة من أفضل الممارسات مباشرةً بمفهوم أمان أعلى وأكثر فلسفية ، وهذه المفاهيم هي ما أنوي مناقشته هنا. مبادئ الأمان الأساسية الأربعة لإريك كول بادئ ذي بدء ، أود أن أتناول مبادئ الأمان الأساسية الأربعة لإريك كول. يجب أن تكون هذه المفاهيم الأربعة دائمًا في أذهان جميع المتخصصين في مجال الأمن.
تعرف على نظامك ربما يكون أهم شيء عند محاولة الدفاع عن نظام هو معرفة ذلك النظام. لا يهم ما إذا كانت قلعة أو خادم Linux – إذا كنت لا تعرف خصوصيات وعموميات ما تدافع عنه بالفعل ، فليس لديك فرصة كبيرة للنجاح. وخير مثال على ذلك في عالم أمن المعلومات هو معرفة بالضبط ما هو البرنامج الذي يعمل على أنظمتك. ما هي الشياطين التي تديرها؟ ما نوع التعرض الذي يصنعونه؟ سيكون الاختبار الذاتي الجيد لشخص ما في بيئة صغيرة إلى متوسطة الحجم هو تحديد عنوان IP عشوائيًا من قائمة أنظمتك ومعرفة ما إذا كنت تعرف القائمة الدقيقة للمنافذ المفتوحة على الأجهزة.
يجب أن يكون المشرف الجيد قادرًا على قول ، على سبيل المثال ، “إنه خادم ويب ، لذا فهو يعمل فقط 80 و 443 و 22 للإدارة عن بُعد ؛ هذا هو.” – وما إلى ذلك وهلم جرا لكل نوع من أنواع الخادم في البيئة. لا ينبغي أن يكون هناك أي مفاجآت عند رؤية نتائج فحص المنفذ. ما لا تريد سماعه في هذا النوع من الاختبارات هو ، “واو ، ما هذا المنفذ؟” إن الاضطرار إلى طرح هذا السؤال هو علامة على أن المسؤول ليس على دراية كاملة بكل شيء يتم تشغيله في المربع المعني ، وهذا هو بالضبط الموقف الذي نحتاج إلى تجنبه.
أقل امتياز المفهوم التالي المهم هو مفهوم الامتياز الأقل. يقول الامتياز الأقل ببساطة أن الأشخاص والأشياء يجب أن يكونوا قادرين فقط على فعل ما يحتاجون إليه لأداء وظائفهم ، ولا شيء آخر. السبب في تضمين “الأشياء” هو أن المسؤولين غالبًا ما يقومون بتكوين المهام الآلية التي تحتاج إلى أن تكون قادرة على القيام بأشياء معينة – النسخ الاحتياطية على سبيل المثال. حسنًا ، ما يحدث غالبًا هو أن المسؤول سيضع المستخدم الذي يقوم بالنسخ الاحتياطي في مجموعة مسؤولي المجال – حتى لو تمكنوا من جعله يعمل بطريقة أخرى. لماذا ا؟ لأنه أسهل. في نهاية المطاف ، تم تصميم هذا المبدأ ليتعارض بشكل مباشر مع الطبيعة البشرية ، أي الكسل. من الصعب دائمًا منح الوصول الدقيق الذي يسمح فقط بمهام محددة أكثر من منح مستوى أعلى من الوصول يتضمن ما يجب إنجازه. تذكرنا قاعدة الامتياز الأقل هذه ببساطة بعدم الاستسلام لإغراء القيام بذلك. لا تستسلم. خذ الوقت الكافي لجعل الوصول مفصلاً وبأقل مستوى ممكن.
الدفاع في العمق ربما يكون “الدفاع في العمق” هو المفهوم الأقل فهماً من بين الأربعة. يعتقد الكثيرون أنه مجرد تكديس ثلاثة جدران حماية بدلاً من جدار واحد ، أو استخدام برنامجين لمكافحة الفيروسات بدلاً من واحد. من الناحية الفنية ، يمكن أن ينطبق هذا ، لكنها ليست الطبيعة الحقيقية للدفاع في العمق. الفكرة الحقيقية هي تكديس أنواع متعددة من الحماية بين المهاجم والأصل. ولا يلزم أن تكون هذه الطبقات منتجات – يمكن أن تكون تطبيقات لمفاهيم أخرى بحد ذاتها ، مثل الامتياز الأقل. لنأخذ مثال مهاجم على الإنترنت يحاول اختراق خادم ويب في المنطقة المجردة من السلاح. قد يكون هذا سهلاً نسبيًا نظرًا لوجود ثغرة أمنية كبيرة ، ولكن مع وجود بنية تحتية تم إنشاؤها باستخدام Defense In Depth ، قد يكون الأمر أكثر صعوبة بشكل ملحوظ. تصلب أجهزة التوجيه والجدران النارية ، وإدراج IPS / IDS ، وتصلب المضيف المستهدف ، ووجود IPS القائم على المضيف على المضيف ، ومكافحة الفيروسات على المضيف ، وما إلى ذلك – يمكن لأي من هذه الخطوات إيقاف الهجوم من النجاح الكامل. الفكرة هي أننا يجب أن نفكر في الاتجاه المعاكس – بدلاً من التفكير في ما يجب وضعه في مكانه لوقف الهجوم ، فكر بدلاً من كل ما يجب أن يحدث حتى يكون ناجحًا. ربما كان يجب على الهجوم أن يمر عبر جهاز التوجيه الخارجي ، أو جدار الحماية ، أو المحول ، أو الوصول إلى المضيف ، أو التنفيذ ، أو إجراء اتصال صادر إلى مضيف بالخارج ، أو تنزيل المحتوى ، أو تشغيله ، وما إلى ذلك ، وما إلى ذلك. ماذا لو لم تنجح أي من هذه الخطوات؟ هذا هو مفتاح الدفاع في العمق – ضع الحواجز في أكبر عدد ممكن من النقاط. تأمين شبكة ACLs. تأمين أذونات الملف. استخدم منع التطفل على الشبكة ، واستخدم كشف التسلل ، واجعل تشغيل التعليمات البرمجية المعادية على أنظمتك أكثر صعوبة ، وتأكد من أن البرامج الخادعة تعمل كأقل مستخدم يتمتع بامتيازات ، وما إلى ذلك ، إلخ. الفائدة بسيطة للغاية – تحصل على المزيد من الفرص لوقف هجوم من أن يصبح ناجحًا. من الممكن أن يصل شخص ما إلى كل شيء ، وصولًا إلى المربع المعني ، ويتم إيقافه من خلال حقيقة أن الشفرة الخبيثة المعنية لن تعمل على المضيف. ولكن ربما عندما يتم إصلاح هذا الرمز بحيث يتم تشغيله ، سيتم اكتشافه بعد ذلك بواسطة IPS محدث أو ACL لجدار الحماية الأكثر تقييدًا الفكرة هي قفل كل ما تستطيع على كل مستوى. ليس شيئًا واحدًا فقط ، كل شيء – أذونات الملفات ، حماية المكدس ، قوائم ACL ، المضيف IPS ، تقييد وصول المسؤول ، التشغيل كمستخدمين محدودين – القائمة تطول وتطول. المفهوم الأساسي بسيط – لا تعتمد على حلول فردية للدفاع عن أصولك. تعامل مع كل عنصر من عناصر دفاعك كما لو كان الطبقة الوحيدة. عندما تتبع هذا النهج ، فمن المرجح أن تتوقف عن الهجمات قبل أن تحقق هدفها.
الوقاية مثالية ، لكن الاكتشاف أمر لا بد منه المفهوم النهائي بسيط إلى حد ما ولكنه مهم للغاية. الفكرة هي أنه في حين أنه من الأفضل إيقاف أي هجوم قبل أن ينجح ، فمن الأهمية بمكان أن تعرف على الأقل أنه حدث. على سبيل المثال ، قد يكون لديك وسائل حماية في مكانها تحاول منع تنفيذ التعليمات البرمجية على نظامك ، ولكن إذا تم تنفيذ التعليمات البرمجية وتم القيام بشيء ما ، فمن الأهمية بمكان أن يتم تنبيهك بهذه الحقيقة ويمكنك اتخاذ إجراء سريع. الفرق بين معرفة الهجوم الناجح خلال 5 أو 10 دقائق مقابل اكتشافه بعد أسابيع هو فرق فلكي. غالبًا ما يؤدي امتلاك المعرفة مبكرًا بدرجة كافية إلى عدم نجاح الهجوم على الإطلاق ، أي ربما يحصلون على صندوقك ويضيفون حساب مستخدم ، لكنك تصل إلى الجهاز وتنقله دون اتصال بالإنترنت قبل أن يتمكنوا من فعل أي شيء به . بغض النظر عن الموقف ، يعد الاكتشاف ضرورة مطلقة لأنه لا يوجد ضمان بأن إجراءات الوقاية الخاصة بك ستكون ناجحة. ثالوث وكالة المخابرات المركزية ثالوث وكالة المخابرات المركزية هو ثلاثي مهم للغاية في أمن المعلومات. “CIA” تعني السرية والنزاهة والتوافر. هذه هي العناصر الثلاثة التي يحاول كل فرد في الصناعة حمايتها. دعونا نتطرق إلى كل واحدة من هذه لفترة وجيزة. السرية: حماية السرية تتعامل مع الحفاظ على سرية الأشياء. يمكن أن يكون هذا أي شيء من الملكية الفكرية لشركة ما إلى مجموعة صور المستخدم المنزلي. أي شيء يهاجم قدرة الفرد على الحفاظ على خصوصية ما يريده يعد هجومًا على السرية. النزاهة: تتعامل النزاهة مع التأكد من عدم تغير الأشياء عن شكلها الحقيقي. الهجمات ضد النزاهة هي تلك التي تحاول تعديل شيء ما من المحتمل أن يعتمد عليه لاحقًا. تشمل الأمثلة تغيير الأسعار في قاعدة بيانات التجارة الإلكترونية ، أو تغيير سعر الدفع لشخص ما في جدول بيانات. التوفر: التوفر جزء بالغ الأهمية من لغز CIA. كما قد يتوقع المرء ، فإن الهجمات على التوافر هي تلك التي تجعل الضحية لا تستطيع استخدام المورد المعني. أشهر مثال على هذا النوع من الهجوم هو هجوم رفض الخدمة. الفكرة هنا هي أنه لا شيء يُسرق ، ولا شيء يتم تعديله. ما يفعله المهاجم هو منعك من استخدام أي شيء يتم مهاجمته. قد يكون ذلك خادمًا معينًا أو حتى شبكة كاملة في حالة هجمات DoS القائمة على النطاق الترددي. من الممارسات الجيدة التفكير في هجمات أمن المعلومات والدفاعات من منظور ثالوث وكالة المخابرات المركزية. ضع في اعتبارك بعض الأساليب الشائعة التي يستخدمها المهاجمون – اقتحام حركة المرور ، وإعادة تهيئة محركات الأقراص الثابتة ، وتعديل ملفات النظام.
يعد استنشاق حركة المرور هجومًا على السرية لأنه يعتمد على رؤية ما لا يُفترض رؤيته. هاجم مهاجم أعاد تهيئة القرص الصلب للضحية مدى توفر نظامه. أخيرًا ، قام شخص ما بكتابة ملفات نظام معدلة بإضعاف تكامل هذا النظام. التفكير بهذه المصطلحات يمكن أن يقطع شوطًا طويلاً نحو مساعدتك على فهم مختلف الأساليب الهجومية والدفاعية. شروط بعد ذلك ، أود أن أستعرض بعض المصطلحات بالغة الأهمية في المجال. يمكن أن يصبح هؤلاء أكاديميين بعض الشيء لكنني سأبذل قصارى جهدي لتلخيصهم في أساسياتهم. عالي التأثر الضعف هو ضعف في النظام. هذا هو واضح ومباشر لأن نقاط الضعف عادة ما يتم تصنيفها على هذا النحو في التحذيرات وحتى في وسائل الإعلام. تتضمن الأمثلة مشكلة LSASS التي تسمح للمهاجمين بالاستيلاء على الأنظمة ، وما إلى ذلك. عندما تقوم بتطبيق تصحيح أمان على نظام ، فأنت تفعل ذلك لمعالجة ثغرة أمنية. التهديد التهديد هو حدث ، طبيعي أو من صنع الإنسان ، يمكن أن يتسبب في تلف نظامك. تشمل التهديدات الأشخاص الذين يحاولون اقتحام شبكتك لسرقة المعلومات ، والحرائق ، والأعاصير ، والفيضانات ، والهندسة الاجتماعية ، والموظفين الخبثاء ، وما إلى ذلك. أي شيء يمكن أن يتسبب في تلف أنظمتك هو في الأساس تهديد لتلك الأنظمة. تذكر أيضًا أن التهديد عادةً ما يتم تصنيفه على أنه احتمال ، أو فرصة ، لتحمل هذا التهديد. ومن الأمثلة على ذلك التهديد باستخدام كود برمجية استغلال ضد ثغرة معينة. إذا لم يكن هناك رمز استغلال معروف في البرية ، يكون التهديد منخفضًا إلى حد ما. لكن رمز استغلال الثغرة الثاني يصل إلى القوائم البريدية الرئيسية ، ويزداد تهديدك (فرصتك) بشكل كبير.
المخاطرة ربما تكون المخاطرة هي الأهم من بين كل هذه التعريفات لأن المهمة الرئيسية لضباط أمن المعلومات هي إدارتها. أبسط تفسير سمعته هو أن المخاطرة هي فرصة حدوث شيء سيء. هذا بسيط للغاية ، وأعتقد أن أفضل طريقة للنظر في هذه المصطلحات هي باستخدام صيغتين: المخاطرة = التهديد × الضعف يتم استخدام الضرب هنا لسبب محدد للغاية – في أي وقت يصل فيه أحد الجانبين إلى الصفر ، تصبح النتيجة صفرًا. بمعنى آخر ، لن يكون هناك خطر في أي وقت لا يوجد فيه تهديد أو لا يوجد ضعف. على سبيل المثال ، إذا كنت معرضًا تمامًا لمشكلة xyz على خادم Linux الخاص بك ، ولكن لا توجد طريقة لاستغلالها ، فإن مخاطرك من ذلك لا شيء. وبالمثل ، إذا كان هناك الكثير من الطرق لاستغلال المشكلة ، ولكنك قد تم تصحيحها بالفعل (وبالتالي لست عرضة للخطر) ، فلن يكون لديك أي خطر على الإطلاق. تتضمن الصيغة الأكثر ارتباطًا التأثير أو التكلفة للمعادلة (حرفيًا): المخاطرة = التهديد × الضعف × التكلفة ما يفعله هذا هو السماح لصانع القرار بإرفاق معنى كمي للمشكلة. إنه ليس علمًا دقيقًا دائمًا ، ولكن إذا كنت تعلم أن شخصًا ما يسرق أغلى ملكية فكرية لنشاطك التجاري سيكلفك 4 مليارات دولار ، فهذه معلومات جيدة عند التفكير في معالجة المشكلة أم لا.
هذا الجزء الأخير مهم. الغرض الكامل من تعيين قيمة للمخاطرة هو أن يتمكن المديرون من اتخاذ القرارات بشأن ما يجب إصلاحه وما لا يجب إصلاحه. إذا كان هناك خطر مرتبط باستضافة بيانات معينة على خادم FTP عام ، ولكن هذا الخطر ليس خطيرًا بما يكفي لتعويض الفائدة ، فمن الجيد المضي قدمًا والاحتفاظ بها هناك. هذه هي الحيلة بأكملها – يتعين على مديري أمن المعلومات معرفة ما يكفي عن التهديدات ونقاط الضعف حتى يتمكنوا من اتخاذ قرارات تجارية سليمة حول كيفية تطوير البنية التحتية لتكنولوجيا المعلومات. هذه هي إدارة المخاطر ، وهي المبرر التجاري الكامل لأمن المعلومات. السياسة – السياسة هي بيان رفيع المستوى من الإدارة يقول ما هو مسموح به وما هو غير مسموح به في المنظمة. ستقول السياسة ، على سبيل المثال ، أنه لا يمكنك قراءة البريد الإلكتروني الشخصي في العمل ، أو أنه لا يمكنك القيام بالخدمات المصرفية عبر الإنترنت ، وما إلى ذلك. يجب أن تكون السياسة واسعة بما يكفي لتشمل المؤسسة بأكملها ويجب أن تحظى بتأييد من هم في الشحنة. المعيار – المعيار يحدد ما سيتم استخدامه لتنفيذ السياسة. على سبيل المثال ، إذا كانت السياسة تنص على أن جميع المستخدمين الداخليين سيستخدمون عميل بريد إلكتروني واحدًا للشركة ، فقد يقول المعيار أن العميل سيكون Outlook 2000 ، إلخ. الإجراء – الإجراء هو وصف لكيفية القيام بشيء معين بالضبط. يتم وضعها عادةً في سلسلة من الخطوات ، على سبيل المثال 1) تنزيل الحزمة التالية ، 2) تثبيت الحزمة باستخدام إضافة / إزالة البرامج ، 3) إعادة تشغيل الجهاز ، إلخ. من الطرق الجيدة للتفكير في المعايير والإجراءات تخيل المعايير على أنها ما يجب فعله أو استخدامه ، والإجراءات مثل كيفية القيام بذلك في الواقع.
في هذا القسم ، أرغب في جمع سلسلة من الأفكار المهمة التي لدي حول أمن المعلومات. كثير من هذه ليست قواعد ، لكل قول ، ومن الواضح أنها رأي. على هذا النحو ، من غير المحتمل أن تتعلمها في الفصل. ومع ذلك ، نأمل أن يتفق عدد لا بأس به من العاملين في هذا المجال مع معظمهم. الهدف من أمن المعلومات هو جعل المهمة الأساسية للمنظمة ناجحة تنشأ الكثير من المصاعب عندما يفقد خبراء الأمن موقع هذا المفهوم الأساسي. الأمن ليس موجودًا لأنه رائع. إنه موجود لمساعدة المنظمة على القيام بما تفعله. إذا كانت هذه المهمة هي جني الأموال ، فإن المهمة الرئيسية للمجموعة الأمنية – في أعلى مستوى لها – هي جني أموال تلك الشركة. بعبارة أخرى ، السبب في وجود مجموعة الأمان في المقام الأول هو منع المنظمة من خسارة الأموال. هذه ليست طريقة “مفتوحة” للنظر إلى الأشياء لأولئك الذين هم في حداثة التواجد في المعلومات ، لكنها عقلية يحتاج المرء إلى تحقيقها في الصناعة على المدى الطويل. لقد أصبح هذا هو الحال بشكل متزايد حيث بدأت الشركات في إعطاء علاوة على المهنيين الذين يرون أن الأمن هو وظيفة تجارية بدلاً من ممارسة تقنية بحتة. تجعل البنية التحتية لتكنولوجيا المعلومات الحالية من الاختراق أمرًا بسيطًا في حين أن العديد من المهاجمين الأكثر مهارة يمكنهم (وقد توصلوا) إلى بعض الطرق البارعة للاستفادة من نقاط الضعف في الأنظمة ، فإن القدرة على فعل ما نراه كل يوم في عالم الأمان تستند بشكل أساسي إلى بنية معيبة بشكل رهيب. إدارة الذاكرة ولغات البرمجة وتصميم الأمان الشامل – لم يتم تصميم أي من هذه الأشياء التي نستخدمها اليوم مع وضع الأمان في الاعتبار. تم تصميمها من قبل الأكاديميين للأكاديميين. لاستخدام القياس ، أعتقد أننا نبني ناطحات سحاب بخشب البلسا وذرق الطائر. المفرقعات تمزقنا مرارًا وتكرارًا حسب الرغبة ولا يمكننا فعل شيء سوى التصحيح والصلاة. لماذا ا؟ لأننا نحاول بناء مئات الأقدام في الهواء باستخدام مواد رديئة. يشكل خشب البلسا وذرق الطائر أكواخًا ممتازة – أكواخ تصمد في وجه عاصفة مطرية غير رسمية وعثرة أو اثنتين. لكنهم لا يقومون بعمل جيد ضد الأعاصير والزلازل ولا سيما مثيري الشغب الذين يستخدمون المشاعل.
لذلك نحن بحاجة إلى الفولاذ. اليوم ليس لدينا أي منها. نواصل اليوم البناء باستخدام نفس المواد القديمة. تتفشى مشكلات إدارة الذاكرة نفسها التي تسمح بتدفق المخزن المؤقت ، ونفس مشكلات لغة البرمجة التي تسمح للكثير من الأشخاص بكتابة تعليمات برمجية خطيرة أسهل من عدمه ، وما إلى ذلك. إلى أن يكون لدينا مواد جديدة للبناء عليها ، سنظل دائمًا وراء المنحنى. من السهل جدًا إشعال النار في الخشب أو إحداث ثقب فيه. لذلك ، بغض النظر عن جميع المقارنات ، أعتقد أنه خلال العقد القادم أو نحو ذلك سنرى إدخال نماذج جديدة لبنية النظام – نماذج شديدة التقييد ويتم تشغيلها باستخدام نموذج “مغلق افتراضي”. لغات البرمجة الجديدة ، IDEs الجديدة ، المترجمات الجديدة ، تقنيات إدارة الذاكرة الجديدة – كلها مصممة من الألف إلى الياء لتكون آمنة وقوية. حصيلة كل هذا هو أنني أعتقد أنه خلال تلك الفترة الزمنية سنرى أنظمة يمكن أن تتعرض للعالم وتقف بمفردها لسنوات مع فرصة ضئيلة لتقديم تنازلات. ستستمر الهجمات الناجحة بالطبع ، لكنها ستكون نادرة للغاية مقارنة بما يحدث اليوم. لن تختفي مشاكل الأمان أبدًا ، نعلم جميعًا ذلك ، لكنها ستعود إلى كونها مشكلات بشرية / تصميم / تكوين بدلاً من مشكلات فجوة العيوب التكنولوجية. الأمان من خلال التعتيم سيء ، لكن الأمان مع الغموض ليس كذلك لقد شاركت في العديد من النقاشات عبر الإنترنت على مر السنين حول مفهوم الأمن من خلال التعتيم. بشكل أساسي ، هناك اعتقاد شائع أنه إذا كان أي جانب من جوانب دفاعك يعتمد على السرية ، فهو معيب بشكل أساسي. هذا ليس هو الحال ببساطة. يستند الارتباك إلى حقيقة أن الناس قد سمعوا الأمن عن طريق التعتيم أمر سيء ، ومعظمهم لا يفهم ما يعنيه المصطلح في الواقع. ونتيجة لذلك ، فإنهم يفترضون الافتراض الرهيب بأن الاعتماد على الغموض – حتى كطبقة إضافية للأمن الجيد بالفعل – أمر سيء. وهذا أمر مؤسف. ما يصفه الأمان بالغموض في الواقع هو نظام تكون فيه السرية هي الأمان الوحيد. إنه يأتي من عالم التشفير حيث غالبًا ما يتم تنفيذ أنظمة التشفير الرديئة بطريقة يعتمد فيها أمان النظام على سرية الخوارزمية بدلاً من سرية المفتاح. هذا أمر سيء – ومن هنا يُعرف سبب الأمن عن طريق الغموض بالرفض.
ما لا يدركه الكثير من الناس هو أن إضافة الغموض إلى الأمان القوي بالفعل ليس بالأمر السيئ. وخير مثال على ذلك هو مشروع portknocking. تتيح هذه الأداة الممتعة إمكانية “إخفاء” الشياطين المتوفرة على الإنترنت ، على سبيل المثال. يراقب البرنامج سجلات جدار الحماية لتسلسلات اتصال محددة تأتي من عملاء موثوق بهم. عندما ترى الأداة الضربة المحددة على جدار الحماية ، فإنها تفتح المنفذ. المفتاح هنا هو أنه لا يمنحك صدفة فحسب – بل سيكون الأمان من خلال الغموض. كل ما يفعله في هذه المرحلة هو إعطائك مطالبة SSH منتظمة كما لو لم يتم تضمين الخطوة السابقة. إنها طبقة مضافة ، بمعنى آخر ، ليست الطبقة الوحيدة. الأمن عملية وليست وجهة هذا أمر شائع جدًا ولكنه يستحق التكرار. أنت لا تصل إلى هناك أبدا. لا يوجد شيء من هذا القبيل. إنه شيء تسعى إليه وتعمل من أجله. كلما أسرع المرء في تعلم ذلك كان ذلك أفضل. التعقيد هو عدو الأمن قد تسموني غريب الأطوار ، لكنني أعتقد أن مفهوم البساطة برمته شيء جميل. ينطبق هذا على تصميم الويب والبرمجة وتنظيم الحياة ونعم – الأمان. من المنطقي تمامًا أن يؤدي التعقيد إلى إعاقة الأمن لأن قدرة المرء على الدفاع عن نظامه تعتمد بشكل كبير على فهمه له. التعقيد يجعل الأشياء أكثر اختلافًا في الفهم.