Zabezpieczanie Roblox: jak nasz dział bezpieczeństwa wspiera innowacje, buduje zaufanie i umożliwia skalowalność

W Roblox bezpieczeństwo to nie tylko ochrona; to umożliwianie innowacji na skalę, jaką osiąga niewiele firm. Ta filozofia kierowała naszą drogą od małego zespołu ds. bezpieczeństwa do strategicznej organizacji, która pomaga napędzać jedną z najbardziej dynamicznych platform na świecie.

Kiedy dołączyłem do Roblox 2,5 roku temu, zespół ds. bezpieczeństwa informacji liczył zaledwie 28 osób. Mieliśmy ogromny potencjał, ale wciąż musieliśmy udowodnić, że bezpieczeństwo może być partnerem, a nie przeszkodą. Pamiętam nasze pierwsze spotkanie po incydencie. Dyskusja nie dotyczyła pojedynczej awarii technicznej, ale tarć. Słuchaliśmy, jak zespół inżynierów przedstawiał nam swój przebieg pracy, i wszystko stało się jasne. Incydent nie nastąpił z powodu zaniedbania; stał się z powodu luki w systemie. Punktu w procesie, w którym brakowało wiedzy specjalistycznej w zakresie bezpieczeństwa. Wtedy zdałem sobie sprawę, że nasza rola nie będzie polegała tylko na zapobieganiu incydentom; będzie polegała na wzmacnianiu zespołów poprzez wbudowanie bezpieczeństwa w ich procesy pracy, aby mogły śmiało tworzyć i dostarczać rozwiązania z pewnością siebie.

Ten moment był punktem zwrotnym. Wiedzieliśmy, że musimy przejść od reaktywnych środków kontroli do proaktywnego, strategicznego bezpieczeństwa, zintegrowanego z procesem tworzenia i skalowania Roblox. Dzisiaj nasza organizacja InfoSec robi więcej niż tylko chroni systemy: tworzymy fundamenty, które pomagają naszym twórcom działać szybko, jednocześnie zdobywając i utrzymując zaufanie użytkowników na skalę globalną.

Budowanie wiarygodności i dynamiki: pierwsze 2,5 roku

Na początku skupialiśmy się na budowaniu zaufania poprzez konsekwentną obecność, rozwiązywanie istotnych problemów i wdrażanie zabezpieczeń w cyklu życia rozwoju. Jednym z najbardziej znaczących przedsięwzięć, które prowadziłem, była transformacja naszej zapory aplikacji internetowych (WAF). Przekształciliśmy ją z podstawowego narzędzia w solidną warstwę ochronną dla wszystkich usług zewnętrznych. Dzięki automatyzacji, walidacji środowiska testowego i wdrażaniu inteligentnych reguł stworzyliśmy mechanizm kontroli, który jest zarówno skuteczny, jak i niewidoczny dla inżynierów.

To podejście, oparte na bezpieczeństwie domyślnym, a nie na utrudnieniach, stało się naszą naczelną zasadą, gdy udoskonalaliśmy modelowanie zagrożeń, tworzyliśmy skalowalne procesy weryfikacji i zdobyliśmy swoje miejsce przy stole, gdzie omawiano produkty.

Udział w tej podróży nauczył mnie, że bezpieczeństwo to nie tylko ochrona; chodzi o umożliwianie kreatywności i pewności siebie na dużą skalę. Obserwowanie, jak nasz zespół rozrasta się z 28 do ponad 100 osób, jednocześnie wywierając wpływ poprzez innowacje i współpracę, było jednym z najbardziej satysfakcjonujących doświadczeń w mojej karierze.

Poznaj zespół, który za tym wszystkim stoi

Wraz z rozwojem naszej wizji rozrosła się również nasza struktura. Obecnie zatrudniamy ponad 100 inżynierów ds. bezpieczeństwa, analityków i liderów, zorganizowanych w dedykowane filary, które odzwierciedlają naszą ewoluującą misję. Z dumą przedstawiam niektóre z kluczowych zespołów napędzających tę ekspansję: 

Wykrywanie i reagowanie (DART)

Odpowiada za utrzymanie poufności, integralności i dostępności systemów oraz danych Roblox. DART obejmuje operacje bezpieczeństwa, reagowanie na incydenty, inżynierię wykrywania, analizę zagrożeń, automatyzację, bezpieczeństwo ofensywne oraz kryminalistykę. Zespół ten proaktywnie identyfikuje pojawiające się zagrożenia i reaguje na nie, umożliwiając jednocześnie bezpieczną skalowalność naszej platformy.

• Ostatnie osiągnięcie: Stworzenie opartej na sztucznej inteligencji automatyzacji koordynującej reagowanie na incydenty w wielu obszarach pracy, minimalizującej przeszkody operacyjne i umożliwiającej zespołom skupienie się na kluczowych zadaniach związanych z rozwiązywaniem problemów.

Bezpieczeństwo platformy

Zabezpiecza naszą sieć, chmurę, produkcyjny system IAM oraz infrastrukturę hybrydową. Zespół zapewnia skalowalne funkcje, takie jak domyślnie bezpieczne szablony Kubernetes, zarządzanie sekretami oraz precyzyjna kontrola dostępu.

• Wpływ: W ciągu ostatniego roku zespół dostarczył wysokowydajne, skalowalne platformy do generowania i unieważniania sekretów w czasie rzeczywistym, samoobsługowej, precyzyjnej autoryzacji, bezpiecznych interfejsów dostępu do środowiska produkcyjnego oraz segmentacji sieci opartej na eBPF. Funkcje te umożliwiły firmie Roblox szybką skalowalność bez zwiększania ryzyka dla naszej społeczności.

Zarządzanie, ryzyko i zgodność (GRC)

Wzmacnia bezpieczeństwo przedsiębiorstwa poprzez podejście oparte na ryzyku i danych w zakresie polityk, zarządzania ryzykiem dostawców, weryfikacji AI i walidacji kontroli. GRC umożliwia każdemu twórcy podejmowanie świadomych decyzji, jednocześnie przyspieszając bezpieczne wprowadzanie innowacji.

• Najważniejsze osiągnięcie: Znaczne przyspieszenie procesu weryfikacji bezpieczeństwa dostawców dzięki automatyzacji, co skróciło typowy czas realizacji i umożliwiło zespołom szybsze działanie.

Bezpieczeństwo przedsiębiorstwa

Koncentruje się na tożsamości korporacyjnej, ochronie punktów końcowych, bezpieczeństwie SaaS oraz bezpieczeństwie naszych zewnętrznych pracowników wsparcia.

• Wpływ: Wprowadzono sprawdzanie stanu urządzeń do procesu uwierzytelniania pracowników, co zapewniło wysoki poziom zgodności w całej firmie.

Bezpieczeństwo aplikacji

Znajduje się na styku inżynierii i bezpieczeństwa, umożliwiając bezpieczne tworzenie oprogramowania poprzez przeglądy, narzędzia i automatyzację CI/CD, w tym bezpieczne skanowanie kodu, wzmocnione kontenery i integralność łańcucha dostaw.

• Innowacja: Uruchomiono oparty na uczeniu maszynowym proces generowania reguł WAF, który analizuje specyficzne dla Roblox wzorce ruchu w celu odfiltrowania szumu, wykrywania ataków i nieprawidłowych żądań oraz automatycznego generowania reguł listy dozwolonych aplikacji i usług.

Globalne bezpieczeństwo

Świadczy usługi w zakresie bezpieczeństwa fizycznego i cyfrowego na całym świecie. Globalne Centrum Operacji Bezpieczeństwa (GSOC) działa 24 godziny na dobę, 7 dni w tygodniu, zarządzając zagrożeniami, koordynując incydenty i zapewniając ochronę podczas wydarzeń na dużą skalę.

• Najważniejsze osiągnięcie: Pomyślne zabezpieczenie konferencji Roblox Developer Conference (RDC) 2024, zapewniając bezpieczeństwo tysiącom uczestników w wielu lokalizacjach.

Inżynieria prywatności

Opracowuje narzędzia i infrastrukturę zapewniającą skalowalną zgodność z przepisami dotyczącymi prywatności. Wykorzystuje sztuczną inteligencję do automatyzacji klasyfikacji danych, generowania kodu zgodności i ograniczenia nakładu pracy ręcznej, wspierając działania związane z RODO, CCPA i wewnętrznym zarządzaniem.

• Ostatnie osiągnięcie: Wdrożono scentralizowany system do automatycznej oceny wpływu na prywatność (PIA), skracając cykle przeglądów i wspierając skalowalne przeglądy prywatności w szybko działających zespołach.

Co sprawia, że bezpieczeństwo w Roblox jest wyjątkowe

Niewiele firm działa na taką skalę jak Roblox, z dziesiątkami milionów aktywnych użytkowników dziennie na globalnej platformie opartej na hybrydowej infrastrukturze lokalnej i chmurowej, szybkim tempem wprowadzania nowych produktów oraz tętniącym życiem ekosystemem deweloperów.

W obliczu tej złożoności tradycyjny model bezpieczeństwa zawiódłby. Dlatego nasze podstawowe przekonanie jest inne: bezpieczeństwo nie powinno tylko chronić, ale także przyspieszać. Osiągamy to poprzez kulturę wsparcia, która umożliwia każdemu inżynierowi stanie się czynnikiem wzmacniającym siłę działania. Zamiast uniwersalnego procesu, nasz model operacyjny jest elastyczny i oparty na partnerstwie. Umożliwiamy zespołom szybkie działanie, zapewniając zautomatyzowane zabezpieczenia i narzędzia samoobsługowe do codziennego rozwoju, jednocześnie rezerwując naszą głęboką, praktyczną współpracę dla najbardziej złożonych i obarczonych wysokim ryzykiem funkcji. Całe to podejście staje się proaktywne, ponieważ staramy się włączać w cykle planowania i tworzenia koncepcji w całej firmie, aby pomóc zespołom wbudować bezpieczeństwo od samego początku.

Ta równowaga między automatyzacją a partnerstwem daje naszym inżynierom swobodę nie tylko zgłaszania problemów, ale także wprowadzania ulepszeń, sprzyjając wzmocnieniu pozycji na każdym poziomie.

Mając na celu osiągnięcie 1 miliarda aktywnych użytkowników dziennie, nasza praca obejmuje ochronę interakcji w czasie rzeczywistym, zabezpieczanie treści generowanych przez użytkowników oraz wspieranie innowacji w zakresie symulacji 3D, sztucznej inteligencji i gospodarki cyfrowej. Wyzwania te wymagają od nas ciągłego opracowywania nowych podejść, od skalowalnych systemów przeglądu bezpieczeństwa i wykrywania zagrożeń opartego na uczeniu maszynowym po automatyzację ochrony prywatności i zabezpieczenia zorientowane na programistów.

Nie tylko nadążamy za zmianami, ale budujemy przyszłość. To właśnie wyróżnia bezpieczeństwo w Roblox.

Twórz z nami

Zbudowaliśmy solidne fundamenty, ale najbardziej ekscytujące wyzwania są jeszcze przed nami. Od skalowania odpowiedzialnej sztucznej inteligencji po ulepszanie ochrony tożsamości i narzędzi bezpieczeństwa zorientowanych na programistów – skupiamy się na kształtowaniu tego, jak wygląda nowoczesne bezpieczeństwo w skali globalnej.

Jeśli chcesz rozwiązywać rzeczywiste problemy, odgrywać znaczącą rolę i pomagać w kształtowaniu przyszłości internetu, zapraszamy do nas. 

Budujmy razem przyszłość bezpieczeństwa.