Mengamankan Roblox: Bagaimana Organisasi Keamanan Kami Mendukung Inovasi, Kepercayaan, dan Skalabilitas

Di Roblox, keamanan bukan hanya soal perlindungan; ini tentang memfasilitasi inovasi pada skala yang jarang dicapai oleh perusahaan lain. Filosofi ini telah membimbing perjalanan kami dari tim keamanan kecil menjadi organisasi strategis yang mendukung salah satu platform paling dinamis di dunia.

Ketika saya bergabung dengan Roblox 2,5 tahun yang lalu, tim Keamanan Informasi hanya beranggotakan 28 orang. Kami memiliki potensi yang sangat besar, tetapi kami masih harus membuktikan bahwa keamanan dapat menjadi mitra, bukan penghalang. Saya ingat saat duduk dalam rapat evaluasi pasca-insiden pertama kami. Diskusi tersebut bukan tentang satu kegagalan teknis, melainkan tentang gesekan. Kami mendengarkan saat tim teknik memaparkan alur kerja mereka, dan hal itu menjadi jelas. Insiden tersebut tidak terjadi karena kelalaian; itu terjadi karena adanya celah dalam sistem. Sebuah titik dalam proses di mana keahlian keamanan tidak ada. Saat itulah saya menyadari bahwa peran kami tidak hanya tentang mencegah insiden; melainkan tentang memberdayakan tim dengan mengintegrasikan keamanan ke dalam alur kerja mereka, sehingga mereka dapat membangun dengan berani dan mengimplementasikan dengan percaya diri.

Momen itu menandai titik balik. Kami tahu bahwa kami harus berevolusi dari kontrol reaktif menjadi keamanan proaktif dan strategis, yang terintegrasi ke dalam cara Roblox membangun dan berkembang. Saat ini, organisasi InfoSec kami melakukan lebih dari sekadar melindungi sistem: kami menciptakan fondasi yang membantu para pembangun kami bergerak dengan cepat sambil mendapatkan dan mempertahankan kepercayaan pengguna dalam skala global.

Membangun Kredibilitas dan Momentum: 2,5 Tahun Pertama

Fokus awal kami adalah membangun kepercayaan dengan konsisten hadir, menyelesaikan masalah yang penting, dan mengintegrasikan keamanan ke dalam siklus hidup pengembangan. Salah satu upaya paling berdampak yang saya pimpin adalah transformasi Web Application Firewall (WAF) kami. Kami mengembangkan WAF dari alat dasar menjadi lapisan perlindungan yang tangguh untuk semua layanan yang menghadap ke luar. Melalui otomatisasi, validasi lingkungan pengujian, dan penerapan aturan yang cerdas, kami menciptakan kontrol yang efektif dan tidak terlihat oleh para insinyur.

Pola pikir tersebut, yaitu keamanan sebagai standar, bukan sebagai hambatan, menjadi prinsip panduan saat kami mengembangkan pemodelan ancaman, membangun proses tinjauan yang skalabel, dan memperoleh tempat kami di meja produk.

Menjadi bagian dari perjalanan ini telah mengajarkan saya bahwa keamanan bukan hanya tentang perlindungan; melainkan tentang memungkinkan kreativitas dan kepercayaan diri dalam skala besar. Melihat tim kami berkembang dari 28 menjadi lebih dari 100 orang, sambil mendorong dampak melalui inovasi dan kolaborasi, telah menjadi salah satu pengalaman paling memuaskan dalam karier saya.

Kenali Tim di Balik Semua Ini

Seiring dengan berkembangnya visi kami, struktur kami pun ikut berkembang. Saat ini, kami memiliki lebih dari 100 insinyur keamanan, analis, dan pemimpin, yang tersusun dalam pilar-pilar khusus yang mencerminkan misi kami yang terus berkembang. Dengan bangga saya memperkenalkan beberapa tim utama yang mendorong ekspansi ini: 

Deteksi dan Respons (DART)

Bertanggung jawab untuk menjaga kerahasiaan, integritas, dan ketersediaan sistem dan data Roblox. DART mencakup Operasi Keamanan, Respons Insiden, Rekayasa Deteksi, Intelijen Ancaman, Otomatisasi, Keamanan Ofensif, dan Forensik. Tim ini secara proaktif mengidentifikasi dan merespons ancaman yang muncul sambil memungkinkan platform kami berkembang secara aman.

• Prestasi terbaru: Membangun otomatisasi berbasis AI untuk mengoordinasikan respons insiden di berbagai alur kerja, meminimalkan hambatan operasional, dan memungkinkan tim untuk fokus pada tugas-tugas penyelesaian yang kritis.

Keamanan Platform

Mengamankan jaringan, cloud, IAM produksi, dan infrastruktur hybrid kami. Tim ini menyediakan kemampuan yang dapat diskalakan seperti templat Kubernetes yang aman secara default, manajemen rahasia, dan kontrol akses yang terperinci.

• Dampak: Selama setahun terakhir, tim ini menghadirkan platform berkinerja tinggi dan dapat diskalakan untuk pembuatan dan pencabutan rahasia secara real-time, otorisasi terperinci swalayan, antarmuka akses produksi yang aman, serta segmentasi jaringan berbasis eBPF. Kemampuan ini telah memberdayakan Roblox untuk berkembang pesat tanpa meningkatkan risiko bagi komunitas kami.

Tata Kelola, Risiko, dan Kepatuhan (GRC)

Memperkuat keamanan perusahaan melalui pendekatan yang mengutamakan risiko dan didasarkan pada data untuk kebijakan, manajemen risiko vendor, tinjauan AI, dan validasi kontrol. GRC memberdayakan setiap pembangun untuk membuat keputusan yang tepat sambil mempercepat inovasi yang aman.

• Sorotan: Mempercepat proses tinjauan keamanan vendor secara signifikan melalui otomatisasi, memangkas waktu penyelesaian yang biasanya dibutuhkan, dan memungkinkan tim untuk bergerak lebih cepat.

Keamanan Perusahaan

Berfokus pada identitas perusahaan, perlindungan titik akhir, keamanan SaaS, dan keamanan tenaga kerja pendukung pihak ketiga kami.

• Dampak: Memperkenalkan pemeriksaan kesehatan perangkat ke dalam alur otentikasi karyawan, mendorong tingkat kepatuhan yang tinggi di seluruh perusahaan.

Keamanan Aplikasi

Berada di persimpangan antara teknik dan keamanan, memungkinkan pengembangan yang aman melalui tinjauan, perkakas, dan otomatisasi CI/CD, termasuk pemindaian kode yang aman, kontainer yang diperkuat, dan integritas rantai pasokan.

• Inovasi: Meluncurkan alur kerja pembuatan aturan WAF yang didukung ML yang menganalisis pola lalu lintas khusus Roblox untuk menyaring gangguan, mendeteksi serangan dan permintaan yang salah bentuk, serta secara otomatis membuat aturan daftar putih khusus aplikasi dan layanan.

Keamanan Global

Menyediakan layanan keamanan fisik dan digital di seluruh dunia. Pusat Operasi Keamanan Global (GSOC) beroperasi 24/7 untuk mengelola ancaman, mengoordinasikan insiden, dan melindungi acara berskala besar.

• Sorotan: Berhasil mengamankan Konferensi Pengembang Roblox (RDC) 2024, mengelola keamanan bagi ribuan peserta di berbagai lokasi.

Rekayasa Privasi

Mengembangkan alat dan infrastruktur untuk kepatuhan privasi yang dapat diskalakan. Menggunakan AI untuk mengotomatiskan klasifikasi data, membuat kode kepatuhan, dan mengurangi upaya manual, mendukung GDPR, CCPA, dan upaya tata kelola internal.

• Prestasi terbaru: Meluncurkan sistem terpusat untuk Penilaian Dampak Privasi (PIA) otomatis, mengurangi siklus peninjauan, dan mendukung peninjauan privasi yang dapat diskalakan di seluruh tim yang bergerak cepat.

Apa yang Membuat Keamanan di Roblox Unik

Hanya sedikit perusahaan yang beroperasi pada skala sebesar Roblox, dengan puluhan juta pengguna aktif harian di platform global yang didukung oleh infrastruktur hybrid on-premise dan cloud, ritme produk yang cepat, serta ekosistem pengembang yang dinamis.

Menghadapi kompleksitas ini, model keamanan tradisional akan gagal. Itulah mengapa keyakinan inti kami berbeda: keamanan tidak hanya harus melindungi, tetapi juga harus mempercepat. Kami mencapai hal ini melalui budaya pemberdayaan yang memberdayakan setiap insinyur untuk menjadi pengali kekuatan. Alih-alih proses yang seragam, model operasional kami fleksibel dan didasarkan pada kemitraan. Kami memfasilitasi tim untuk bergerak cepat dengan menyediakan batasan otomatis dan alat self-service untuk pengembangan sehari-hari, sementara kolaborasi mendalam dan langsung kami simpan untuk fitur-fitur yang paling kompleks dan berisiko tinggi. Pendekatan ini menjadi proaktif, karena kami berupaya untuk terlibat dalam siklus perencanaan dan ideasi di seluruh perusahaan guna membantu tim membangun keamanan sejak awal.

Keseimbangan antara otomatisasi dan kemitraan ini memberikan kewenangan kepada para insinyur kami tidak hanya untuk menyampaikan kekhawatiran, tetapi juga untuk mendorong perbaikan, sehingga menumbuhkan pemberdayaan di setiap tingkatan.

Dengan target 1 miliar pengguna aktif harian, pekerjaan kami mencakup perlindungan interaksi real-time, pengamanan konten yang dibuat pengguna, serta dukungan terhadap inovasi dalam simulasi 3D, AI, dan ekonomi digital. Tantangan-tantangan ini mengharuskan kami untuk terus menciptakan pendekatan baru, mulai dari sistem tinjauan keamanan yang skalabel dan deteksi ancaman berbasis ML hingga otomatisasi privasi dan batasan keamanan yang berorientasi pada pengembang.

Kami tidak hanya mengikuti perkembangan; kami membangun masa depan. Itulah yang membuat keamanan di Roblox berbeda.

Bergabunglah Bersama Kami

Kami telah membangun fondasi yang kuat, tetapi tantangan paling menarik masih menanti di depan. Mulai dari pengembangan AI yang bertanggung jawab hingga peningkatan perlindungan identitas dan alat keamanan yang berorientasi pada pengembang, kami berfokus pada membentuk seperti apa keamanan modern di skala global.

Jika Anda ingin memecahkan masalah nyata, memimpin dengan dampak, dan membantu membentuk masa depan internet, kami mengundang Anda untuk bergabung dengan kami. 

Mari kita bangun masa depan keamanan, bersama-sama.