Low-Code в ИБ: как собирать процессы без разработки с нуля

Рынку информационной безопасности нужны не абстрактные платформы, а быстрые решения под конкретные процессы: инциденты, уязвимости, интеграции, отчёты, действия на конечных системах. Low-Code / No-Code обещает сократить путь от идеи до работающего сценария. Но как это выглядит на практике? Разбираем на примере Security Vision: из чего состоит платформа, кто может с ней работать, когда она снижает затраты и почему «без кода» не значит «без инженерии».

  

 

 

 

1. 1. Введение
2. 2. Определение Low-Code / No-Code платформы на примере Security Vision
   
   1. 2.1. Использование платформы для решения задач ИБ
   2. 2.2. Экономическая эффективность применения платформы
3. 3. Устройство Low-Code / No-Code платформы
   
   1. 3.1. Как выглядит конструктор
   2. 3.2. Примеры реализации процессов на Low-Code / No-Code платформе
   3. 3.3. Кейс Security Vision по кастомизации платформы под задачи заказчика
4. 4. Кто может пользоваться платформой
   
   1. 4.1. Обучение и стажировка в Security Vision
5. 5. Low-Code / No-Code платформа как основа экосистемы
6. 6. Рекомендации Security Vision по использованию Low-Code / No-Code платформы
7. 7. Выводы

Введение

Рутинные операции по-прежнему занимают значительную часть рабочего времени. Одновременно растёт нагрузка на специалистов, а проекты по автоматизации часто откладываются из-за ограниченного бюджета, недостатка экспертизы и дефицита времени. Один из способов сократить объём ручной работы связан с использованием платформ класса Low-Code / No-Code (технологии создания ИТ-продуктов без написания кода или с минимальным использованием ручного программирования). Такой подход позволяет автоматизировать процессы без длительных циклов разработки.

Ранее мы об этом уже говорили в одном из эфиров AM Talk. Но за этими технологиями стоит много технических нюансов, поэтому сегодня в нашей студии эксперт, с которым на примере решения Security Vision простыми словами мы разберём, как работают такие платформы, где они применяются и какие задачи с их помощью можно решать в области информационной безопасности (ИБ).

 

Рисунок 1. Эксперты в студии AM Live

 

Участник подкаста — Ева Беляева, руководитель отдела разработки продуктов Security Vision, эксперт с более чем 12-летним опытом в сфере ИБ, в том числе в технологиях класса SIEM и SOAR, из которых более 10 лет посвящены проектированию и построению центров мониторинга киберугроз (SOC). Профессиональный путь Евы включает ключевые роли в крупнейших системных интеграторах («Инфосистемы Джет», «Техносерв», NVision Group, «Информзащита»), а также работу в мировом технологическом гиганте — IBM.

Эксперт обладает редким 360-градусным видением ИБ-процессов благодаря глубокому практическому опыту на всех этапах создания и внедрения ИТ-решений: от пресейла и аналитики до внедрения и разработки. Как убеждённый сторонник исключительно практической («небумажной») безопасности, фокусируется на создании реально работающих технических решений. На счету Евы более 50 успешных интеграционных проектов различного масштаба.

Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа», основатель портала Anti-Malware.ru, эксперт по аналитике рынков ИБ и ИТ, регулярный спикер крупных профильных конференций.

Определение Low-Code / No-Code платформы на примере Security Vision

Low-Code / No-Code представляет собой конструктор, который не требует знаний языков программирования и опыта разработки для того, чтобы на его базе можно было создавать продукты или автоматизировать задачи и процессы. Суть в том, что вместо написания кода система работает через описание логики: нужно в понятном виде задать, что именно должно происходить и в какой последовательности. Если у специалиста есть понимание, как он выполняет задачу вручную, он может разложить её на шаги и перенести на платформу.

Но это не история про то, что разработчики становятся не нужны. В контексте вендора средств защиты информации полноценной замены разработчиков не происходит: есть разработчики, которые пишут код и создают платформу, и есть отдел разработки продуктов, где инженеры, не являясь разработчиками по профессии, занимаются созданием решений на базе платформы в области ИБ.

Для интеграций и работы с конечными системами иногда всё равно требуется код. В ряде случаев проще использовать небольшой скрипт, например, для выполнения управляющей команды на конечной точке и получения ответа, который затем интерпретируется платформой.

При работе с более абстрактной логикой процессов использование визуального конструктора оказывается быстрее, чем написание скриптов. Вместо классического сценария автоматизации инфраструктуры, где пишется полноценный код, логика может быть собрана через конструктор: определяются хосты, задаются действия и выстраивается последовательность шагов в виде блок-схемы.

 

Рисунок 2. Пример блок-схемы на платформе Security Vision

 

Использование платформы для решения задач ИБ

Платформа Security Vision — не просто Low-code / No code инструмент. Это готовая бизнес-среда для создания, сертификации и продажи ИБ-продуктов. Если перевести разговор в плоскость информационной безопасности, её ценность проявляется в трёх вещах: скорости, удобстве и прозрачности.

Внутри Security Vision есть два основных сценария использования.

Первый сценарий — разработка коробочных продуктов на базе платформы. Такой подход позволил за достаточно короткое время сформировать большой портфель решений. В него вошли управление активами и управление уязвимостями, а затем — платформа управления и система реагирования на инциденты.

Важным фактором стало переиспользование уже созданных решений. Даже при разных дата-моделях и разном назначении продуктов удаётся использовать ранее реализованные на платформе подходы. Это дало возможность ускорить разработку и обеспечить предсказуемость результатов. В классической модели разработки, где команды часто изолированы друг от друга, такие результаты достигаются сложнее: различия в архитектуре и логике приводят к тому, что продукты внутри одной линейки могут развиваться несогласованно и требовать сложной интеграции.

Второй сценарий — предоставление доступа к платформе. В этом случае заказчики и партнёры могут использовать её как основу для создания собственных решений под свои задачи. В нашей компании есть кейс, когда партнёры забирали только платформу и строили на её базе собственные продукты для своих процессов.

В ИБ наиболее распространённые задачи, которые решаются с помощью таких платформ, — это управление инцидентами и управление уязвимостями, включая их сканирование.

Экономическая эффективность применения платформы

В ряде случаев покупка платформы, обучение инженеров работе с ней и поддержка со стороны вендора могут оказаться менее затратными, чем формирование отдельной команды разработчиков с более высоким уровнем квалификации и увеличенным штатом.

Экономия не всегда очевидна. В процессе автоматизации часть задач уходит к менеджерам, инженерам и руководителям подразделений, которым нужно выделять время на работу с инструментом и настройку процессов. Это время также становится частью общей стоимости решения.

Ева Беляева: «Но точно No-Code / Low-Code технологии в Security Vision позволяют создавать цифровые продукты без необходимости писать код с нуля, экономя месяцы разработки. С ними снижается показатель Time to Market, быстро тестируются гипотезы и занимаются рыночные ниши востребованными решениями».

Плюс, используя сертифицированное ядро Security Vision, выпускаемый продукт автоматически соответствует высоким стандартам регуляторов — это ключевое конкурентное преимущество, которое гарантирует доверие заказчиков.

Устройство Low-Code / No-Code платформы

Платформа представляет собой базу, в которой изначально нет заранее заданной логики, но есть возможность выстраивать её под конкретные задачи за счёт настройки дата-модели и процессов.

В зависимости от сценария это могут быть разные наборы объектов: в управлении уязвимостями — уязвимость, хост, задача на устранение; в реагировании на инциденты — инцидент, задача по его обработке, алерт. Дополнительно фиксируются артефакты, поступающие вместе с инцидентом: хосты, ссылки, учётные записи и другие данные. На этом этапе определяется, что происходит с этими сущностями: как они живут, взаимодействуют и ведут себя в рамках процессов. Это могут быть процессы устранения уязвимостей с набором шагов или сценарии реагирования на инциденты (playbook) и т. д.

Ещё один блок — интеграции. Он отвечает за взаимодействие с внешними системами и конечными устройствами: получение событий, сканирование уязвимостей, отправку управляющих команд и обработку результатов.

Как выглядит конструктор

Рассмотрим на примере, как работает конструктор и с чего начинается работа с данными, которые поступают в систему. Логично начать с коннекторов, так как они отвечают за парсинг и взаимодействие с интеграциями. Визуально в платформе можно разобрать данные, которые приходят от конечного устройства, и привести их к структурированному виду. Для этого предусмотрены встроенные парсеры.

В коробочной поставке Security Vision доступны несколько вариантов обработки: XML, JSON, работа с XML, обработка текстов с разделителями, в том числе форматами, которые можно считать более-менее нормализованными. Если приходит произвольный текст, содержащий нужную информацию, предусмотрена возможность использовать регулярные выражения для его разбора.

 

 

После выбора подходящего способа парсинга данные раскладываются по свойствам без необходимости писать отдельные скрипты или глубоко погружаться в программирование. Это позволяет быстро подготовить информацию к дальнейшей обработке в системе. Далее данные передаются в следующую часть процесса, где на их основе уже можно работать с объектами платформы. Например, создать инцидент, заполнить его данными, сформировать бюллетень с индикаторами компрометации или использовать коннектор как промежуточное звено в цепочке обработки.

 

Рисунок 3. Обработка результатов в Security Vision

 

Такой же подход применяется и в сценариях взаимодействия с конечными системами. Сначала через коннектор выполняется запрос, например, о текущих активных сессиях на хосте, после чего полученные данные могут быть использованы на следующем шаге процесса — для выполнения управляющих действий над выбранными сессиями.

Примеры реализации процессов на Low-Code / No-Code платформе

В системе предусмотрены готовые шаблоны рабочих процессов, которые можно использовать как отправную точку. Они описывают типовые сценарии и позволяют понять, как выстраивается процесс: по статусам или по отдельным этапам, заложенным в логику работы.

В качестве примера рассмотрим шаблон процесса управления уязвимостями. Это один из типовых сценариев, который уже реализован в коробочном продукте Security Vision и доступен для изучения и адаптации под свои задачи. Он представляет собой визуальную блок-схему, где весь процесс собран в понятной структуре и дополняется подсказками и ссылками на документацию с примерами использования.

В рамках такого шаблона описывается полный цикл работы с объектом уязвимости. Фиксируются этапы изменения состояния: от момента запуска процесса обновления до загрузки данных из внешних источников и последующего структурирования информации внутри объекта. В результате формируется единая логика обработки данных, охватывающая все ключевые шаги.

Шаблон включает не только изменение значений и статусов, но и взаимодействие с коннекторами и внешними интеграциями, а также создание вспомогательных объектов, которые обеспечивают более гибкую работу с информацией.

Ева Беляева: «Платформа позволяет адаптировать процессы под конкретные требования. Заказчик может изменять уже существующие сущности и логику работы системы под свои задачи. В большинстве случаев для этого достаточно встроенных инструментов. В отдельных ситуациях могут формироваться дополнительные запросы на расширение функциональности, если требуется специфический тип операций или устранение повторяющихся рутинных действий».

 

Ева Беляева, руководитель отдела разработки продуктов Security Vision

 

Развитие платформы строится с учётом практических задач: в неё включаются только те изменения, которые позволяют ускорить работу и исключить необходимость регулярно выполнять одинаковые вспомогательные операции.

Кейс Security Vision по кастомизации платформы под задачи заказчика

Платформа может использоваться как основа для создания решений под конкретные потребности заказчика, включая ситуации, когда существующих средств защиты информации недостаточно. Был случай в Security Vision, когда заказчик сначала рассматривал готовый коробочный продукт, но в итоге выбрал работу напрямую с платформой. На её базе он собрал решение под свои процессы и требования.

В результате получилась система, функционально близкая к коробочному продукту, но адаптированная под внутреннюю логику: были изменены интерфейсные элементы, логика работы и расположение отдельных компонентов в карточках объектов. Разработкой занималась небольшая команда, фактически полтора человека: инженер на постоянной основе и аналитик, который формализовал требования и помогал переносить их в реализацию.

На создание решения ушло около полугода. Итогом стало полноценное внутреннее решение, собранное на базе платформы Security Vision, используемое заказчиком в ежедневной работе.

Кто может пользоваться платформой

Порог входа в работу с платформой ниже среднего, однако он напрямую зависит от бэкграунда специалиста.

Проще всего адаптироваться следующим категориям пользователей:

• Специалисты с опытом и образованием в области ИБ. Даже на уровне студентов старших курсов они уже понимают базовые сущности: инциденты, уязвимости, работу ситуационных центров и принципы взаимодействия этих объектов. За счёт этого им проще сформировать представление о том, как эти элементы должны быть реализованы в рамках платформы и какие задачи с её помощью решаются.
• Разработчики. Несмотря на то, что они могут не иметь глубокого опыта именно в ИБ, у них есть понимание принципов разработки и объектно-ориентированного подхода. Это позволяет достаточно быстро освоить логику настройки процессов на платформе и перейти от классической разработки к работе в визуальной среде.

Ева Беляева: «У обеих категорий есть свои особенности адаптации. Специалистам из ИБ проще понять конечную модель продукта и предметную область, но сложнее перейти к технической реализации. Разработчики, напротив, быстрее осваивают техническую часть, но им требуется время, чтобы разобраться в общей логике и структуре ИБ-продуктов».

 

Рисунок 4. Кто может пользоваться платформой Low-Code / No-Code

 

Обучение и стажировка в Security Vision

Базовое обучение работе с платформой занимает в среднем от двух недель до месяца. За это время формируется понимание общей концепции и логики платформы, после чего специалисты переходят к полноценной работе с ней.

Действует и программа стажировки, рассчитанная на три месяца. В неё набирают студентов старших курсов университетов, преимущественно по направлениям кибербезопасности и разработки. В рамках стажировки участники проходят обучение под руководством команды и знакомятся с принципами построения продуктов на платформе. По итогам стажировки у специалистов формируется понимание того, как устроены продукты, как они разрабатываются и как выстраивается работа с платформой в целом.

Low-Code / No-Code платформа как основа экосистемы

Подход к платформе Security Vision не ограничивается только внутренними продуктами или замкнутой разработкой. При её использовании возможны разные сценарии: от создания собственных решений до работы партнёров и заказчиков, которые строят на её базе свои продукты. В таком подходе платформа выступает как единая основа, на которой могут появляться разные решения, ориентированные на конкретные задачи. Это создаёт условия, при которых продукты разрабатываются на общих принципах и могут логически взаимодействовать между собой в рамках одной среды.

Появление сторонних решений на базе платформы рассматривается как естественное развитие экосистемы. Это позволяет расширять спектр применяемых сценариев и формировать более широкий набор инструментов, которые решают практические задачи пользователей.

Развитие платформы не должно замыкаться только на внутренней экспертизе. Включение внешних идей и подходов рассматривается как фактор, который способен улучшать архитектуру и функциональность решений за счёт появления новых практических сценариев использования.

Рекомендации Security Vision по использованию Low-Code / No-Code платформы

Переход к автоматизации и подходу Low-Code / No-Code для многих компаний связан не столько с технической сложностью, сколько с привычными процессами и отсутствием времени на изменение текущей модели работы.

Практический вход в платформу должен начинаться с конкретной задачи. Если есть понятная потребность в автоматизации, можно либо самостоятельно изучать инструменты платформы, либо подключать специалистов и партнёров, которые помогают выстраивать первые сценарии и разобраться с базовой логикой работы.

Внутри платформы Security Vision предусмотрены встроенные инструменты для упрощения старта работы:

• программные агенты, помогающие разобраться в логике платформы и отвечающие на вопросы пользователей;
• возможность формировать готовые сценарии по запросу, которые затем можно дорабатывать и тестировать;
• поддержка работы с внешними моделями и сервисами, включая интеграции с LLM (Large Language Model) и т. д.

Базовый сценарий с Low-Code / No-Code платформой остаётся единым: данные сначала собираются и описываются в логике No-Code, затем при необходимости передаются во внешний скрипт для обработки и возвращаются обратно в платформу для дальнейшего использования в процессе.

Выводы

Платформа Low-Code / No-Code закрывает сразу несколько практических задач: ускоряет разработку продуктов, снижает зависимость от классической разработки и даёт возможность собирать рабочие процессы из готовых сущностей, логики и интеграций. По сути, это способ быстрее переводить требования бизнеса и безопасности в работающие процессы без необходимости каждый раз писать код с нуля.

И речь не идёт о замене разработчиков. Платформа скорее меняет способ работы: часть задач уходит в визуальный конструктор, часть остаётся в виде скриптов или внешних обработчиков. В результате команды получают более гибкую модель: можно быстро собрать решение под конкретный процесс, донастроить его под себя и при необходимости масштабировать или переиспользовать в других продуктах и сценариях.