Protegendo o Roblox: como nossa equipe de segurança promove inovação, confiança e escalabilidade

Na Roblox, segurança não se resume apenas à proteção; trata-se de possibilitar a inovação em uma escala que poucas empresas conseguem alcançar. Essa filosofia guiou nossa jornada de uma pequena equipe de segurança para uma organização estratégica que ajuda a impulsionar uma das plataformas mais dinâmicas do mundo.

Quando entrei na Roblox há 2,5 anos, a equipe de Segurança da Informação tinha apenas 28 pessoas. Tínhamos um potencial imenso, mas ainda estávamos provando que a segurança poderia ser uma parceira, não um obstáculo. Lembro-me de estar presente em nossa primeira reunião de análise pós-incidente. A discussão não era sobre uma única falha técnica, mas sobre atrito. Ouvimos enquanto a equipe de engenharia nos explicava seu fluxo de trabalho, e tudo ficou claro. O incidente não ocorreu por negligência; aconteceu devido a uma lacuna no sistema. Um ponto no processo em que faltava conhecimento especializado em segurança. Foi então que percebi que nosso papel não seria apenas prevenir incidentes; seria capacitar as equipes, incorporando a segurança em seus fluxos de trabalho, para que pudessem criar com ousadia e entregar com confiança.

Aquele momento marcou um ponto de virada. Sabíamos que precisávamos evoluir de controles reativos para uma segurança proativa e estratégica, integrada à forma como a Roblox desenvolve e se expande. Hoje, nossa organização de segurança da informação faz mais do que proteger sistemas: criamos as bases que ajudam nossos desenvolvedores a agir rapidamente, ao mesmo tempo em que conquistamos e mantemos a confiança dos usuários em escala global.

Construindo credibilidade e impulso: os primeiros 2,5 anos

Nosso foco inicial foi construir confiança por meio de uma presença consistente, resolvendo problemas importantes e incorporando a segurança ao ciclo de vida do desenvolvimento. Um dos esforços de maior impacto que liderei foi a transformação do nosso Web Application Firewall (WAF). Nós o transformamos de uma ferramenta básica em uma camada de proteção robusta para todos os serviços voltados para o exterior. Por meio de automação, validação do ambiente de teste e implantação inteligente de regras, criamos um controle que é eficaz e invisível para os engenheiros.

Essa mentalidade, de segurança por padrão, e não por atrito, tornou-se um princípio orientador à medida que amadurecemos nossa modelagem de ameaças, construímos processos de revisão escaláveis e conquistamos nosso espaço na mesa de produtos.

Fazer parte dessa jornada me ensinou que segurança não se resume apenas à proteção; trata-se de possibilitar criatividade e confiança em escala. Ver nossa equipe crescer de 28 para mais de 100 pessoas, ao mesmo tempo em que geramos impacto por meio da inovação e da colaboração, tem sido uma das experiências mais gratificantes da minha carreira.

Conheça a equipe por trás de tudo isso

À medida que nossa visão se expandiu, o mesmo aconteceu com nossa estrutura. Hoje, somos mais de 100 engenheiros de segurança, analistas e líderes, organizados em pilares dedicados que refletem nossa missão em constante evolução. Tenho orgulho de apresentar algumas das principais equipes que impulsionam essa expansão: 

Detecção e Resposta (DART)

Responsável por manter a confidencialidade, integridade e disponibilidade dos sistemas e dados da Roblox. A DART inclui Operações de Segurança, Resposta a Incidentes, Engenharia de Detecção, Inteligência de Ameaças, Automação, Segurança Ofensiva e Análise Forense. Essa equipe identifica e responde proativamente a ameaças emergentes, ao mesmo tempo em que permite que nossa plataforma cresça com segurança.

• Conquista recente: criou uma automação baseada em IA para coordenar a resposta a incidentes em vários fluxos de trabalho, minimizando os bloqueios operacionais e permitindo que as equipes se concentrem em tarefas críticas de resolução.

Segurança da Plataforma

Protege nossa rede, nuvem, IAM de produção e infraestrutura híbrida. A equipe oferece recursos escaláveis, como modelos do Kubernetes seguros por padrão, gerenciamento de segredos e controle de acesso refinado.

• Impacto: Ao longo do último ano, a equipe entregou plataformas escaláveis e de alto desempenho para geração e revogação de segredos em tempo real, autorização granular de autoatendimento, interfaces de acesso de produção seguras e segmentação de rede baseada em eBPF. Esses recursos permitiram que a Roblox escalasse rapidamente sem aumentar o risco para nossa comunidade.

Governança, Risco e Conformidade (GRC)

Fortalece a segurança corporativa por meio de uma abordagem que prioriza o risco e se baseia em dados para políticas, gerenciamento de riscos de fornecedores, análise de IA e validação de controles. O GRC capacita todos os desenvolvedores a tomar decisões informadas, ao mesmo tempo em que acelera a inovação segura.

• Destaque: Acelerou significativamente o processo de revisão de segurança de fornecedores por meio da automação, reduzindo drasticamente os tempos de resposta típicos e permitindo que as equipes ajam mais rapidamente.

Segurança Corporativa

Concentra-se na identidade corporativa, proteção de endpoints, segurança de SaaS e na segurança de nossa força de trabalho de suporte terceirizada.

• Impacto: Introduziu verificações de integridade de dispositivos no fluxo de autenticação de funcionários, promovendo um alto nível de conformidade em toda a empresa.

Segurança de Aplicações

Situa-se na interseção entre engenharia e segurança, possibilitando o desenvolvimento seguro por meio de revisões, ferramentas e automação de CI/CD, incluindo verificação segura de código, contêineres reforçados e integridade da cadeia de suprimentos.

• Inovação: Lançou um fluxo de trabalho de geração de regras WAF baseado em ML que analisa padrões de tráfego específicos da Roblox para filtrar ruídos, detectar ataques e solicitações malformadas e gerar automaticamente regras de lista de permissões específicas para aplicativos e serviços.

Segurança Global

Oferece serviços de segurança física e digital em todo o mundo. O Centro de Operações de Segurança Global (GSOC) opera 24 horas por dia, 7 dias por semana, para gerenciar ameaças, coordenar incidentes e proteger eventos de grande escala.

• Destaque: Assegurou com sucesso a Roblox Developer Conference (RDC) de 2024, gerenciando a segurança de milhares de participantes em vários locais.

Engenharia de Privacidade

Desenvolve ferramentas e infraestrutura para conformidade de privacidade escalável. Utiliza IA para automatizar a classificação de dados, gerar código de conformidade e reduzir o esforço manual, apoiando o GDPR, a CCPA e os esforços de governança interna.

• Conquista recente: Implementou um sistema centralizado para Avaliações de Impacto na Privacidade (PIAs) automatizadas, reduzindo os ciclos de revisão e oferecendo suporte a revisões de privacidade escaláveis em equipes dinâmicas.

O que torna a segurança na Roblox única

Poucas empresas operam na escala da Roblox, com dezenas de milhões de usuários ativos diariamente em uma plataforma global alimentada por uma infraestrutura híbrida local e na nuvem, um ritmo acelerado de lançamento de produtos e um ecossistema vibrante de desenvolvedores.

Diante dessa complexidade, um modelo de segurança tradicional falharia. É por isso que nossa crença fundamental é diferente: a segurança não deve apenas proteger, mas também acelerar. Alcançamos isso por meio de uma cultura de capacitação que empodera cada engenheiro a se tornar um multiplicador de força. Em vez de um processo único para todos, nosso modelo operacional é flexível e baseado em parceria. Capacitamos as equipes a agir rapidamente, fornecendo proteções automatizadas e ferramentas de autoatendimento para o desenvolvimento diário, enquanto reservamos nossa colaboração profunda e prática para os recursos mais complexos e de alto risco. Toda essa abordagem se torna proativa, à medida que nos esforçamos para nos integrar aos ciclos de planejamento e ideação em toda a empresa, a fim de ajudar as equipes a incorporar a segurança desde o início.

Esse equilíbrio entre automação e parceria dá aos nossos engenheiros a autonomia não apenas para levantar preocupações, mas para impulsionar melhorias, promovendo o empoderamento em todos os níveis.

Com a meta de 1 bilhão de usuários ativos diários, nosso trabalho abrange a proteção de interações em tempo real, a segurança do conteúdo gerado pelos usuários e o apoio a inovações em simulação 3D, IA e economias digitais. Esses desafios exigem que inventemos constantemente novas abordagens, desde sistemas escaláveis de revisão de segurança e detecção de ameaças baseada em ML até automação de privacidade e proteções que priorizam os desenvolvedores.

Não estamos apenas acompanhando o ritmo; estamos construindo o que está por vir. É isso que torna a segurança na Roblox diferente.

Construa conosco

Construímos uma base sólida, mas os desafios mais empolgantes ainda estão por vir. Desde a ampliação da IA responsável até o avanço na proteção de identidade e ferramentas de segurança que priorizam os desenvolvedores, estamos focados em moldar o que será a segurança moderna em escala global.

Se você quer resolver problemas reais, liderar com impacto e ajudar a moldar o futuro da internet, convidamos você a se juntar a nós. 

Vamos construir o futuro da segurança, juntos.