Proteggere Roblox: come la nostra organizzazione dedicata alla sicurezza favorisce l'innovazione, la fiducia e la scalabilità

In Roblox, la sicurezza non riguarda solo la protezione; riguarda la possibilità di innovare su una scala che poche aziende riescono a raggiungere. Questa filosofia ha guidato il nostro percorso da un piccolo team di sicurezza a un'organizzazione strategica che contribuisce a potenziare una delle piattaforme più dinamiche al mondo.

Quando sono entrato in Roblox 2,5 anni fa, il team di sicurezza informatica era composto da sole 28 persone. Avevamo un potenziale immenso, ma dovevamo ancora dimostrare che la sicurezza poteva essere un partner, non un ostacolo. Ricordo di aver partecipato alla nostra prima riunione di analisi post-incidente. La discussione non verteva su un singolo errore tecnico, ma su un attrito. Abbiamo ascoltato il team di ingegneri mentre ci illustrava il proprio flusso di lavoro, e tutto è diventato chiaro. L'incidente non si era verificato a causa di negligenza; era accaduto a causa di una lacuna nel sistema. Un punto del processo in cui mancava la competenza in materia di sicurezza. È stato allora che ho capito che il nostro ruolo non sarebbe stato solo quello di prevenire gli incidenti; si sarebbe trattato di potenziare i team integrando la sicurezza nei loro flussi di lavoro, in modo che potessero costruire con audacia e fornire risultati con fiducia.

Quel momento ha segnato una svolta. Sapevamo che dovevamo passare da controlli reattivi a una sicurezza proattiva e strategica, integrata nel modo in cui Roblox sviluppa e si espande. Oggi, la nostra organizzazione InfoSec non si limita a salvaguardare i sistemi: creiamo le basi che aiutano i nostri sviluppatori a muoversi rapidamente, guadagnando e mantenendo la fiducia degli utenti su scala globale.

Costruire credibilità e slancio: i primi 2,5 anni

All'inizio ci siamo concentrati sulla costruzione della fiducia, rendendoci sempre presenti, risolvendo i problemi che contavano e integrando la sicurezza nel ciclo di vita dello sviluppo. Uno degli sforzi più significativi che ho guidato è stata la trasformazione del nostro Web Application Firewall (WAF). Lo abbiamo fatto evolvere da uno strumento di base a un solido livello di protezione per tutti i servizi rivolti all'esterno. Attraverso l'automazione, la convalida dell'ambiente di test e l'implementazione di regole intelligenti, abbiamo creato un controllo che è sia efficace che invisibile agli ingegneri.

Quella mentalità, "sicuro per impostazione predefinita, non per attrito", è diventata un principio guida mentre perfezionavamo la nostra modellazione delle minacce, costruivamo processi di revisione scalabili e ci guadagnavamo un posto al tavolo dei prodotti.

Far parte di questo percorso mi ha insegnato che la sicurezza non riguarda solo la protezione, ma anche la possibilità di promuovere la creatività e la fiducia su larga scala. Vedere il nostro team crescere da 28 a oltre 100 persone, generando al contempo un impatto attraverso l'innovazione e la collaborazione, è stata una delle esperienze più appaganti della mia carriera.

Scopri il team che sta dietro a tutto questo

Man mano che la nostra visione si è ampliata, così ha fatto la nostra struttura. Oggi siamo più di 100 ingegneri della sicurezza, analisti e leader, organizzati in pilastri dedicati che riflettono la nostra missione in continua evoluzione. Sono orgoglioso di presentarvi alcuni dei team chiave che guidano questa espansione: 

Rilevamento e risposta (DART)

Responsabile del mantenimento della riservatezza, dell'integrità e della disponibilità dei sistemi e dei dati di Roblox. Il DART comprende le operazioni di sicurezza, la risposta agli incidenti, l'ingegneria del rilevamento, l'intelligence sulle minacce, l'automazione, la sicurezza offensiva e la scienza forense. Questo team identifica e risponde in modo proattivo alle minacce emergenti, consentendo al contempo alla nostra piattaforma di scalare in modo sicuro.

• Successo recente: ha creato un'automazione basata sull'intelligenza artificiale per coordinare la risposta agli incidenti su più flussi di lavoro, riducendo al minimo gli ostacoli operativi e consentendo ai team di concentrarsi su attività di risoluzione critiche.

Sicurezza della piattaforma

Protegge la nostra rete, il cloud, l'IAM di produzione e l'infrastruttura ibrida. Il team offre funzionalità scalabili come modelli Kubernetes sicuri per impostazione predefinita, gestione dei segreti e controllo degli accessi granulare.

• Impatto: nell'ultimo anno, il team ha fornito piattaforme scalabili e ad alte prestazioni per la creazione e la revoca in tempo reale delle credenziali, l'autorizzazione granulare self-service, interfacce di accesso alla produzione sicure e la segmentazione della rete basata su eBPF. Queste funzionalità hanno consentito a Roblox di scalare rapidamente senza aumentare i rischi per la nostra comunità.

Governance, rischio e conformità (GRC)

Rafforza la sicurezza aziendale attraverso un approccio "risk-first" e basato sui dati per quanto riguarda le politiche, la gestione dei rischi dei fornitori, la revisione tramite IA e la convalida dei controlli. Il GRC consente a ogni sviluppatore di prendere decisioni informate, accelerando al contempo l'innovazione sicura.

• Punto di forza: ha accelerato in modo significativo il processo di revisione della sicurezza dei fornitori attraverso l'automazione, riducendo drasticamente i tempi di elaborazione tipici e consentendo ai team di muoversi più rapidamente.

Sicurezza aziendale

Si concentra sull'identità aziendale, la protezione degli endpoint, la sicurezza SaaS e la sicurezza del nostro personale di supporto di terze parti.

• Impatto: ha introdotto controlli sullo stato dei dispositivi nel flusso di autenticazione dei dipendenti, garantendo un elevato livello di conformità in tutta l'azienda.

Sicurezza delle applicazioni

Si colloca all'incrocio tra ingegneria e sicurezza, consentendo uno sviluppo sicuro attraverso revisioni, strumenti e automazione CI/CD, tra cui scansione sicura del codice, container rinforzati e integrità della catena di fornitura.

• Innovazione: ha lanciato un flusso di lavoro per la generazione di regole WAF basato sul machine learning che analizza i modelli di traffico specifici di Roblox per filtrare il rumore, rilevare attacchi e richieste malformate e generare automaticamente regole di whitelist specifiche per app e servizi.

Sicurezza globale

Fornisce servizi di sicurezza fisica e digitale in tutto il mondo. Il Global Security Operations Center (GSOC) opera 24 ore su 24, 7 giorni su 7, per gestire le minacce, coordinare gli incidenti e proteggere gli eventi su larga scala.

• Punto di forza: ha garantito con successo la sicurezza della Roblox Developer Conference (RDC) del 2024, gestendo la sicurezza di migliaia di partecipanti in diverse sedi.

Ingegneria della privacy

Sviluppa strumenti e infrastrutture per la conformità alla privacy scalabile. Utilizza l'IA per automatizzare la classificazione dei dati, generare codice di conformità e ridurre lo sforzo manuale, supportando il GDPR, il CCPA e le iniziative di governance interna.

• Successo recente: implementazione di un sistema centralizzato per le valutazioni automatizzate dell'impatto sulla privacy (PIA), riducendo i cicli di revisione e supportando revisioni della privacy scalabili in team in rapida evoluzione.

Cosa rende unica la sicurezza in Roblox

Poche aziende operano su una scala pari a quella di Roblox, con decine di milioni di utenti attivi al giorno su una piattaforma globale alimentata da un'infrastruttura ibrida on-premise e cloud, un ritmo di sviluppo dei prodotti frenetico e un vivace ecosistema di sviluppatori.

Di fronte a questa complessità, un modello di sicurezza tradizionale fallirebbe. Ecco perché la nostra convinzione fondamentale è diversa: la sicurezza non dovrebbe solo proteggere, ma anche accelerare. Raggiungiamo questo obiettivo attraverso una cultura di empowerment che consente a ogni ingegnere di diventare un moltiplicatore di forza. Invece di un processo unico per tutti, il nostro modello operativo è flessibile e basato sulla partnership. Consentiamo ai team di muoversi rapidamente fornendo misure di sicurezza automatizzate e strumenti self-service per lo sviluppo quotidiano, riservando la nostra collaborazione approfondita e pratica alle funzionalità più complesse e ad alto rischio. L'intero approccio diventa proattivo, poiché ci sforziamo di integrarci nei cicli di pianificazione e ideazione in tutta l'azienda per aiutare i team a integrare la sicurezza fin dall'inizio.

Questo equilibrio tra automazione e partnership offre ai nostri ingegneri la possibilità non solo di sollevare preoccupazioni, ma anche di promuovere miglioramenti, favorendo l'empowerment a ogni livello.

Con l'obiettivo di raggiungere 1 miliardo di utenti attivi al giorno, il nostro lavoro spazia dalla protezione delle interazioni in tempo reale, alla sicurezza dei contenuti generati dagli utenti, fino al supporto delle innovazioni nella simulazione 3D, nell'intelligenza artificiale e nelle economie digitali. Queste sfide ci impongono di inventare costantemente nuovi approcci, dai sistemi scalabili di revisione della sicurezza e il rilevamento delle minacce basato sul machine learning, fino all'automazione della privacy e alle misure di sicurezza incentrate sugli sviluppatori.

Non ci limitiamo a stare al passo con i tempi; stiamo costruendo il futuro. È questo che rende la sicurezza in Roblox diversa.

Costruisci con noi

Abbiamo costruito delle solide fondamenta, ma le sfide più entusiasmanti devono ancora venire. Dall'espansione di un'IA responsabile al miglioramento della protezione dell'identità e degli strumenti di sicurezza incentrati sugli sviluppatori, ci stiamo concentrando sulla definizione di come sarà la sicurezza moderna su scala globale.

Se vuoi risolvere problemi reali, guidare con impatto e contribuire a plasmare il futuro di Internet, ti invitiamo a unirti a noi. 

Costruiamo insieme il futuro della sicurezza.