เนื้อหาในเว็บไซต์นี้ได้รับการแปลโดยใช้ปัญญาประดิษฐ์ (AI) หรือเทคโนโลยีการแปลด้วยเครื่อง และอาจมีข้อผิดพลาด

Skip to content

ล่าสุด

ผลลัพธ์เพิ่มเติม

อาชีพ

การรักษาความปลอดภัยของ Roblox: วิธีที่องค์กรด้านความปลอดภัยของเราส่งเสริมนวัตกรรม ความไว้วางใจ และการขยายตัว

เรียนรู้วิธีที่ทีม InfoSec ของ Roblox สร้างนวัตกรรม ความไว้วางใจ และการขยายขนาดโดยการฝังความปลอดภัยเข้าไปในกระบวนการทำงานของวิศวกรรมโดยตรง ขณะนี้กำลังเปิดรับสมัคร

โดย อาหมัด อาลอมารี, ผู้จัดการอาวุโส, ความปลอดภัยของแอปพลิเคชัน

เผยแพร่ 1 ก.ค. 2568

SEO image for Securing Roblox: How Our Security Organization Enables Innovation, Trust, and Scale

ที่ Roblox ความปลอดภัยไม่ใช่แค่การปกป้องเท่านั้น แต่คือการเปิดโอกาสให้เกิดนวัตกรรมในระดับที่บริษัทไม่กี่แห่งเคยทำได้ ปรัชญานี้ได้นำทางเราจากการเป็นทีมความปลอดภัยขนาดเล็ก สู่การเป็นองค์กรเชิงกลยุทธ์ที่ช่วยขับเคลื่อนหนึ่งในแพลตฟอร์มที่มีความเคลื่อนไหวมากที่สุดในโลก

เมื่อฉันเข้าร่วม Roblox เมื่อ 2.5 ปีที่แล้ว ทีมความปลอดภัยทางข้อมูลมีเพียง 28 คนเท่านั้น เราเต็มไปด้วยศักยภาพมหาศาล แต่เรายังต้องพิสูจน์ว่าความปลอดภัยสามารถเป็นคู่ค้าได้ ไม่ใช่ผู้ขัดขวาง ฉันจำได้ว่านั่งอยู่ในห้องประชุมหลังเหตุการณ์ครั้งแรกของเรา การหารือไม่ได้เกี่ยวข้องกับความล้มเหลวทางเทคนิคเพียงอย่างเดียว แต่เกี่ยวข้องกับความขัดแย้ง เราได้ฟังทีมวิศวกรอธิบายขั้นตอนการทำงานของพวกเขาอย่างละเอียด และมันก็ชัดเจนขึ้น เหตุการณ์ที่เกิดขึ้นไม่ได้เกิดจากความประมาท แต่เป็นเพราะช่องว่างในระบบ จุดหนึ่งในกระบวนการที่ขาดความเชี่ยวชาญด้านความปลอดภัย นั่นคือตอนที่ผมตระหนักว่าบทบาทของเราไม่ได้มีแค่การป้องกันเหตุการณ์เท่านั้น แต่ยังเป็นการเสริมศักยภาพให้ทีมด้วยการฝังความปลอดภัยเข้าไปในขั้นตอนการทำงานของพวกเขา เพื่อให้พวกเขาสามารถสร้างสรรค์สิ่งใหม่ได้อย่างกล้าหาญและส่งมอบผลงานด้วยความมั่นใจ

ช่วงเวลานั้นถือเป็นจุดเปลี่ยนสำคัญ เราตระหนักว่าจำเป็นต้องพัฒนาจากการควบคุมแบบรับมือเหตุการณ์ ไปสู่การรักษาความปลอดภัยเชิงรุกและเชิงกลยุทธ์ที่ผสานเข้ากับกระบวนการสร้างและขยายตัวของ Roblox อย่างแท้จริง ปัจจุบัน องค์กรด้านความปลอดภัยสารสนเทศของเราไม่ได้ทำหน้าที่เพียงปกป้องระบบเท่านั้น แต่เรายังสร้างรากฐานที่ช่วยให้ผู้สร้างของเราสามารถดำเนินงานได้อย่างรวดเร็ว พร้อมสร้างความไว้วางใจจากผู้ใช้และรักษาไว้ในระดับโลก

การสร้างเครดิตและความก้าวหน้า: 2.5 ปีแรก

ในช่วงแรกเรามุ่งเน้นที่การสร้าง 신뢰를ผ่านการปรากฏตัวอย่างสม่ำเสมอ การแก้ปัญหาที่มีความสำคัญ และการผสานความปลอดภัยเข้ากับวงจรการพัฒนา หนึ่งในความพยายามที่มีอิทธิพลมากที่สุดที่ผมนำทีมทำคือการเปลี่ยนแปลงระบบ Web Application Firewall (WAF) ของเรา เราได้พัฒนาระบบนี้จากเครื่องมือพื้นฐานให้กลายเป็นชั้นป้องกันที่แข็งแกร่งสำหรับบริการที่ติดต่อจากภายนอกทั้งหมด ผ่านการอัตโนมัติ การตรวจสอบสภาพแวดล้อมการทดสอบ และการPLOYกฎอย่างชาญฉลาด เราได้สร้างระบบควบคุมที่มีประสิทธิภาพและไม่เป็นที่รบกวนสำหรับนักพัฒนา

แนวคิดนั้น ซึ่งมีความมั่นคงโดยธรรมชาติ ไม่ใช่เพราะอุปสรรค กลายเป็นหลักการชี้นำเมื่อเราพัฒนาการจำลองภัยคุกคามของเราให้สมบูรณ์ สร้างกระบวนการตรวจสอบที่สามารถขยายได้ และได้รับที่นั่งในโต๊ะผลิตภัณฑ์

การเป็นส่วนหนึ่งของเส้นทางนี้ได้สอนให้ฉันรู้ว่า ความปลอดภัยไม่ได้หมายถึงการปกป้องเพียงอย่างเดียว แต่ยังหมายถึงการส่งเสริมความคิดสร้างสรรค์และความมั่นใจในระดับที่กว้างขวาง การได้เห็นทีมของเราเติบโตจาก 28 คนเป็นมากกว่า 100 คน พร้อมทั้งขับเคลื่อนผลกระทบผ่านนวัตกรรมและการร่วมมือกัน เป็นหนึ่งในประสบการณ์ที่น่าภาคภูมิใจที่สุดในชีวิตการทำงานของฉัน

พบกับทีมงานเบื้องหลังทุกความสำเร็จ

undefined

เมื่อวิสัยทัศน์ของเราขยายตัว โครงสร้างของเราก็เติบโตตามไปด้วย ปัจจุบัน เรามีวิศวกรด้านความปลอดภัย นักวิเคราะห์ และผู้นำมากกว่า 100 คน ที่จัดระเบียบอยู่ในเสาหลักที่มุ่งมั่นซึ่งสะท้อนถึงพันธกิจที่พัฒนาของเรา ผมภูมิใจที่จะแนะนำทีมหลักบางทีมที่ขับเคลื่อนการขยายตัวนี้: 

การตรวจจับและการตอบสนอง (DART)

รับผิดชอบในการรักษาความลับ ความถูกต้องสมบูรณ์ และความพร้อมใช้งานของระบบและข้อมูลของ Roblox DART ประกอบด้วย การปฏิบัติการด้านความปลอดภัย การตอบสนองต่อเหตุการณ์ การตรวจจับทางวิศวกรรม การข่าวกรองภัยคุกคาม การอัตโนมัติ การรักษาความปลอดภัยเชิงรุก และการตรวจสอบทางนิติวิทยาศาสตร์ ทีมงานนี้ระบุและตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่เชิงรุก ในขณะที่ช่วยให้แพลตฟอร์มของเราสามารถขยายตัวได้อย่างปลอดภัย

  • ชัยชนะล่าสุด: สร้างระบบอัตโนมัติที่ขับเคลื่อนด้วย AI เพื่อประสานงานการตอบสนองต่อเหตุการณ์ในหลายสายงาน ลดอุปสรรคในการดำเนินงาน และช่วยให้ทีมสามารถมุ่งเน้นไปที่งานแก้ไขปัญหาที่สำคัญได้

ความปลอดภัยของแพลตฟอร์ม

รักษาความปลอดภัยให้กับเครือข่าย คลาวด์ ระบบ IAM สำหรับการผลิต และโครงสร้างพื้นฐานแบบไฮบริดของเรา ทีมงานนำเสนอความสามารถที่ปรับขนาดได้ เช่น เทมเพลต Kubernetes ที่ปลอดภัยโดยค่าเริ่มต้น การจัดการข้อมูลลับ และการควบคุมการเข้าถึงแบบละเอียด

  • ผลกระทบ: ตลอดปีที่ผ่านมา ทีมงานได้ส่งมอบแพลตฟอร์มที่มีประสิทธิภาพสูงและสามารถปรับขนาดได้สำหรับการสร้างและยกเลิกความลับแบบเรียลไทม์ การอนุญาตแบบละเอียดที่ผู้ใช้สามารถจัดการได้เอง อินเทอร์เฟซการเข้าถึงการผลิตที่ปลอดภัย และการแบ่งส่วนเครือข่ายที่ใช้ eBPF ความสามารถเหล่านี้ได้ช่วยให้ Roblox สามารถขยายตัวอย่างรวดเร็วโดยไม่เพิ่มความเสี่ยงต่อชุมชนของเรา

การกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนด (GRC)

เสริมสร้างความปลอดภัยขององค์กรผ่านแนวทางที่ให้ความสำคัญกับความเสี่ยงเป็นอันดับแรก และใช้ข้อมูลเป็นฐานในการกำหนดนโยบาย การบริหารความเสี่ยงของผู้ให้บริการ การตรวจสอบระบบปัญญาประดิษฐ์ และการตรวจสอบการควบคุมให้ถูกต้อง กรีซีอาร์ (GRC) ช่วยให้ผู้สร้างทุกคนสามารถตัดสินใจอย่างมีข้อมูลได้ พร้อมทั้งเร่งให้เกิดนวัตกรรมที่ปลอดภัย

  • ไฮไลท์: เร่งกระบวนการตรวจสอบความปลอดภัยของผู้จัดจำหน่ายอย่างมีนัยสำคัญผ่านการใช้ระบบอัตโนมัติ ลดระยะเวลาการดำเนินการลงอย่างมาก และช่วยให้ทีมสามารถดำเนินการได้รวดเร็วยิ่งขึ้น

ความปลอดภัยขององค์กร

มุ่งเน้นที่อัตลักษณ์ขององค์กร การป้องกันจุดปลายทาง ความปลอดภัยของ SaaS และความปลอดภัยของบุคลากรสนับสนุนจากบุคคลที่สามของเรา

  • ผลกระทบ: ได้แนะนำการตรวจสอบสุขภาพของอุปกรณ์เข้าสู่กระบวนการยืนยันตัวตนของพนักงาน ส่งผลให้เกิดการปฏิบัติตามข้อกำหนดในระดับสูงทั่วทั้งองค์กร

ความปลอดภัยของแอปพลิเคชัน

อยู่ตรงจุดตัดระหว่างวิศวกรรมและความปลอดภัย ช่วยให้การพัฒนาเป็นไปอย่างปลอดภัยผ่านการตรวจสอบ เครื่องมือ และระบบอัตโนมัติ CI/CD รวมถึงการสแกนโค้ดที่ปลอดภัย การเสริมความแข็งแกร่งของคอนเทนเนอร์ และความสมบูรณ์ของห่วงโซ่อุปทาน

  • นวัตกรรม: เปิดตัวกระบวนการสร้างกฎ WAF ที่ขับเคลื่อนด้วย ML ซึ่งวิเคราะห์รูปแบบการจราจรเฉพาะของ Roblox เพื่อกรองสัญญาณรบกวน ตรวจจับการโจมตีและคำขอที่ผิดรูปแบบ และสร้างกฎอนุญาตเฉพาะสำหรับแอปและบริการโดยอัตโนมัติ

ความมั่นคงระดับโลก

ให้บริการด้านความปลอดภัยทางกายภาพและดิจิทัลทั่วโลก ศูนย์ปฏิบัติการด้านความปลอดภัยระดับโลก (GSOC) ดำเนินการตลอด 24 ชั่วโมงทุกวัน เพื่อจัดการภัยคุกคาม ประสานงานเหตุการณ์ และปกป้องกิจกรรมขนาดใหญ่

  • ไฮไลท์: ประสบความสำเร็จในการจัดงานประชุมนักพัฒนา Roblox ประจำปี 2024 (RDC) โดยดูแลความปลอดภัยของผู้เข้าร่วมงานหลายพันคนในหลายสถานที่

วิศวกรรมความเป็นส่วนตัว

พัฒนาเครื่องมือและโครงสร้างพื้นฐานสำหรับการปฏิบัติตามข้อกำหนดความเป็นส่วนตัวที่สามารถปรับขนาดได้ ใช้ AI เพื่ออัตโนมัติการจัดประเภทข้อมูล สร้างโค้ดที่สอดคล้องกับข้อกำหนด และลดความพยายามในการทำงานด้วยตนเอง สนับสนุน GDPR, CCPA และความพยายามในการกำกับดูแลภายในองค์กร

  • ชัยชนะล่าสุด: เปิดตัวระบบศูนย์กลางสำหรับการประเมินผลกระทบด้านความเป็นส่วนตัว (PIAs) แบบอัตโนมัติ ช่วยลดระยะเวลาในการตรวจสอบและสนับสนุนการทบทวนความเป็นส่วนตัวที่สามารถขยายได้สำหรับทีมที่มีการเปลี่ยนแปลงอย่างรวดเร็ว

อะไรที่ทำให้ความปลอดภัยของ Roblox มีความพิเศษ

undefined

มีเพียงไม่กี่บริษัทที่ดำเนินงานในระดับเดียวกับ Roblox โดยมีผู้ใช้งานประจำต่อวันหลายสิบล้านคนบนแพลตฟอร์มระดับโลกที่ขับเคลื่อนด้วยโครงสร้างพื้นฐานแบบผสมผสานทั้งในองค์กรและบนคลาวด์ พร้อมด้วยจังหวะการพัฒนาผลิตภัณฑ์ที่รวดเร็ว และระบบนิเวศของนักพัฒนาที่มีชีวิตชีวา

เมื่อเผชิญกับความซับซ้อนนี้ โมเดลความปลอดภัยแบบดั้งเดิมจะล้มเหลว นั่นคือเหตุผลที่ความเชื่อหลักของเราแตกต่างออกไป: ความปลอดภัยไม่ควรเพียงแค่ปกป้อง แต่ควรเร่งความเร็ว เราบรรลุสิ่งนี้ผ่านวัฒนธรรมแห่งการเสริมพลังที่มอบอำนาจให้วิศวกรทุกคนกลายเป็นตัวคูณพลัง แทนที่จะเป็นกระบวนการที่เหมาะกับทุกสถานการณ์ โมเดลการดำเนินงานของเราจะยืดหยุ่นและตั้งอยู่บนพื้นฐานของความร่วมมือ เราช่วยให้ทีมสามารถทำงานได้อย่างรวดเร็วด้วยการจัดเตรียมระบบป้องกันอัตโนมัติและเครื่องมือบริการตนเองสำหรับการพัฒนาในทุกๆ วัน ขณะเดียวกันก็สงวนการร่วมมืออย่างใกล้ชิดและลึกซึ้งของเราไว้สำหรับฟีเจอร์ที่มีความซับซ้อนสูงและมีความเสี่ยงมากที่สุด แนวทางทั้งหมดนี้กลายเป็นความเชิงรุก เนื่องจากเรามุ่งมั่นที่จะมีส่วนร่วมในกระบวนการวางแผนและสร้างสรรค์แนวคิดในทุกระดับของบริษัท เพื่อช่วยให้ทีมสามารถสร้างความปลอดภัยเข้าไปตั้งแต่เริ่มต้น

ความสมดุลระหว่างระบบอัตโนมัติและความร่วมมือนี้มอบอำนาจให้วิศวกรของเราไม่เพียงแต่สามารถแจ้งข้อกังวลเท่านั้น แต่ยังขับเคลื่อนการปรับปรุงต่าง ๆ ได้ด้วย ส่งเสริมการมีส่วนร่วมและการเสริมสร้างศักยภาพในทุกระดับ

ด้วยเป้าหมายในการมีผู้ใช้ที่ใช้งานรายวันถึง 1 พันล้านคน งานของเราครอบคลุมการปกป้องการโต้ตอบแบบเรียลไทม์ การรักษาความปลอดภัยของเนื้อหาที่ผู้ใช้สร้างขึ้น และการสนับสนุนนวัตกรรมในด้านการจำลอง 3 มิติ ปัญญาประดิษฐ์ และเศรษฐกิจดิจิทัล ความท้าทายเหล่านี้ต้องการให้เราคิดค้นวิธีการใหม่ๆ อย่างต่อเนื่อง ตั้งแต่ระบบการตรวจสอบความปลอดภัยที่สามารถขยายขนาดได้และการตรวจจับภัยคุกคามด้วย ML ไปจนถึงการอัตโนมัติด้านความเป็นส่วนตัวและมาตรการป้องกันที่เน้นนักพัฒนาเป็นสำคัญ

เราไม่ได้แค่ตามให้ทัน แต่เรากำลังสร้างสิ่งที่จะเกิดขึ้นต่อไป นั่นคือสิ่งที่ทำให้ความปลอดภัยของ Roblox แตกต่าง

สร้างกับเรา

เราได้สร้างรากฐานที่แข็งแกร่งแล้ว แต่ความท้าทายที่น่าตื่นเต้นที่สุดยังรออยู่ข้างหน้า ตั้งแต่การขยายการใช้ AI อย่างมีความรับผิดชอบไปจนถึงการพัฒนาระบบปกป้องข้อมูลส่วนบุคคลและเครื่องมือรักษาความปลอดภัยที่เน้นนักพัฒนาเป็นสำคัญ เรามุ่งมั่นที่จะกำหนดรูปแบบของความปลอดภัยยุคใหม่ในระดับโลก

หากคุณต้องการแก้ปัญหาที่แท้จริง นำการเปลี่ยนแปลงอย่างมีผลกระทบ และช่วยกำหนดอนาคตของอินเทอร์เน็ต เราขอเชิญคุณมาร่วมกับเรา 

มาร่วมสร้างอนาคตแห่งความปลอดภัยไปด้วยกัน

ข่าวที่เกี่ยวข้อง
SEO image for Innovation at Scale: Inside Our Biggest Hack Week Yet

อาชีพ

3 มี.ค. 2569

นวัตกรรมขนาดใหญ่: ภายในสัปดาห์แฮ็กที่ใหญ่ที่สุดของเรา

อ่านเพิ่มเติม
SEO image for Now Live: The Immersive Roblox Careers Experience

อาชีพ

1 ม.ค. 2569

เปิดตัวแล้ว: ประสบการณ์อาชีพในโลกเสมือนจริงของ Roblox

อ่านเพิ่มเติม
SEO image for Fair Play: Roblox’s Game-Based Talent Assessment

อาชีพ

29 ก.ค. 2568

แฟร์เพลย์: การประเมินความสามารถผ่านเกมของ Roblox

อ่านเพิ่มเติม
ดูข่าวทั้งหมด