Tarun Thakur, Co-Founder og CEO af Veza – Interview Serie

Tarun Thakur, Co-Founder og CEO af Veza, er en tidligere direktør i Data Domain, Veritas og IBM, med årtiers erfaring i opbygning af virksomhedsinfrastruktur. Han co-foundede Veza for at løse det voksende problem med identitets-sprawl, med fokus på at give klarhed og kontrol i komplekse hybrid- og cloud-native-arkitekturer.

Veza er en identitetssikkerhedsplatform, der er specialdesigned til moderne, multi-cloud-miljøer, og som giver organisationer mulighed for at styre og gennemtvinge adgangsrettigheder på tværs af applikationer, cloud-platforme og datasystemer med usædvanlig synlighed og præcision. Backet af over 125 millioner dollars i finansiering – herunder en 110 millioner dollars Series C-runde ledet af Accel med deltagelse fra Sequoia Capital, GV og Norwest Venture Partners – serverer Veza førende virksomheder som Blackstone, Autodesk, SoFi, Wynn Resorts og S&P Global for at forhindre brud, minimere indre risiko og sikre overholdelse.

De har succesfuldt co-founded flere virksomhedsinfrastruktur-virksomheder gennem årene. Hvad inspirerede dem til at lancere Veza, og hvordan har deres tidligere erfaringer hos Datos IO, Data Domain og IBM Research formet deres vision for identitets-først-sikkerhed?

Hver virksomhed, jeg har bygget, har tacklet et grundlæggende blindspot i virksomhedsinfrastruktur – dataprotektion, resilience, skala. Men identitet var altid det manglende led. Hos Datos IO hjalp vi med at beskytte kritisk data på tværs af cloud-native-applikationer, men vi stødte konstant på et dybere problem: vi vidste ikke, hvem der havde adgang til hvad data, eller hvorfor. Det er et systemisk fiasko – ikke af lager eller beregning – men af adgangs-styring.

Jeg co-foundede Veza, fordi jeg så en fremtid, hvor identitet ville være det primære angrebs-overflade. Og vi lever i den fremtid nu. Branchen havde brugt 20 år på at forestille sig, at IAM var et checkbox-problem. Det er det ikke. Det er en kontinuerlig kontrol-plane. Det er, hvor sikkerhed, overholdelse og produktivitet alle kolliderer. Vores mission er at gøre adgang ikke kun synlig, men også håndterbar.

Bare se på Palo Altos overtagelse af CyberArk. Det er branchens klareste signal endnu, om, at identitet ikke er en back-office-funktion – det er nu core til virksomhedssikkerhedsstrategi. Men selv med den aftale, mangler markedet stadig, hvad moderne virksomheder mest behøver: realtids-synlighed i, hvad identiteter kan gøre, på tværs af hver applikation, system og datasæt. Det er gapet, Veza udfylder.

Vi er ved at gå ind i en ny æra, hvor AI-agenter ikke kun er værktøjer, men aktører – autonomt adgang til systemer, data og applikationer. Hvordan udfordrer denne ændring de traditionelle paradigmer for identitet og adgangs-styring (IAM)?

IAM var designed til mennesker. Agentic AI bryder fuldstændigt med denne model. Disse er autonome enheder, der tager beslutninger, genererer output, kæder arbejdsprocesser og udløser downstream-adgang – i maskinehastighed. Alligevel spørger de fleste IAM-værktøjer stadig: “Hvilken gruppe er denne identitet i?” Det er latterligt.

Paradigme-skiftet er dette: adgang er ikke længere provisioneret manuelt – det er emergent, dynamisk og kontekstuel. Du kan ikke styre det med statiske roller og stælle berettigelse. Du behøver realtids-adgangs-intelligence. Du behøver systemer, der forstår, hvad en AI-agent kan gøre på tværs af hver system – ikke kun, hvad det er “tilladt” at gøre i teori.

Veza har været højlydt om den stigende risiko for ikke-menneskelige identiteter – AI-agenter, service-konti, bots. Hvordan differentierer de mellem legitimation af automation og risikofyldt over-berettigelse i dynamiske miljøer som DevOps eller finans?

Det er 10 milliarder dollars-spørgsmålet. De fleste organisationer kan ikke engang inventere deres ikke-menneskelige identiteter, endsige styre dem. Veza flipper modellen: vi starter ikke med identiteten – vi starter med handlingen. Hvem eller hvad kan læse denne S3-bucket? Hvem kan slette rækker i denne produktionsdatabase?

I DevOps eller finans er automation essentiel. Men så er begrænsning også. Du behøver fin-grænet synlighed i, hvad disse identiteter kan gøre lige nu, ikke hvad nogen IAM-billet sagde for seks måneder siden. Og du behøver at kunne lukke det ned med det samme, når adgangen bliver giftig. Det er Vezas superpower.

Da virksomheder integrerer AI i kritiske arbejdsprocesser, bliver realtids-gennemtvingelse af least-privilege-adgang essentiel. Kan du føre os igennem, hvordan Veza muliggør dette niveau af granularitet på tværs af hybrid- og multi-cloud-infrastrukturer?

Granularitet uden automation er værdiløs. Veza forbinder direkte til kontrolplanet – enten det er AWS, Salesforce, Snowflake eller SAP – og bygger en graf over hver berettigelse, hver rolle, hver handling, der er tilgængelig for en identitet. Menneskelig eller maskine. On-prem eller cloud. Det er én samlet adgangs-stof.

Så lagrer vi et forretningskontekst – hvem ejer appen, hvornår blev den sidst brugt, er det en del af en kritisk proces. Det giver dig mulighed for at oprette politikker som: “Ingen GenAI-agent kan få adgang til PII, medmindre det er eksplitt godkendt og logget.” Og hvis noget bryder denne regel, kan Veza advare, inddrage eller afhjælpe i realtid. Det er, hvordan du gennemtvinger least privilege i stor skala.

De har beskrevet Veza som en leverandør af “adgangs-intelligence”. Hvad betyder det i praktisk forstand, og hvordan adskiller det sig fra traditionelle adgangskontrol-løsninger eller identitets-styrings-platforme?

Adgangs-intelligence betyder at vide, på ethvert tidspunkt, hvad hver identitet – menneskelig eller ikke-menneskelig – kan gøre, hvor og hvorfor. Traditionelle værktøjer fortæller dig, hvad en bruger er blevet givet. Vi fortæller dig, hvad de kan gøre lige nu, og om det er sikkert.

IGA-værktøjer gør styring på kvartalsbasis. Veza gør styring kontinuerligt. PAM-værktøjer fokuserer på en lille undergruppe af privilegerede konti. Vi dækker hver identitet, hver applikation, hver berettigelse. Og vi gør det med konteksten til at træffe intelligente beslutninger – ikke kun log-støj.

Med henblik på fremtiden for Agentic AI, hvordan bør sikkerhedsarkitekturer udvikle sig for at holde trit?

Sikkerheds-teamene må stoppe med at tænke i termer af brugere og starte med at tænke i termer af handlinger. AI-agenter logger ikke ind og ud. De udfylder ikke adgangs-anmodninger. De starter, handler og forsvinder.

Du behøver arkitekturer, der er adgangs-bevidste, realtids- og kontrolplan-tilstødende. Det betyder:

• Kontinuerlig tilladelses-overvågning
• AI-adfærd-baselining
• Autonom adgangs-tilbagekaldelse
• Tamper-bevis auditabilitet på tværs af alle AI-interaktioner

Dette er ikke valgfrit. Hver AI-agent er en potentiel indre trussel – og compliance-rammerne er ved at indhente hurtigt. Hvis du ikke kan forklare, hvem der gjorde hvad og hvorfor, vil du fejle audits, tabe tillid eller værre.

Veza tæller store mærker som Autodesk, Blackstone og S&P Global blandt sine kunder. Hvad er de mest almindelige mønstre eller fejl, de ser, selv de mest modne organisationer begår, når det kommer til identitets-styring?

Den mest almindelige fejl? At antage, at nogen andre ejer det. IAM er ofte forældet mellem sikkerhed, IT, compliance og ingeniører. Denne fragmentering dræber ansvarlighed.

Et andet problem er rolle-sprawl – især i modne organisationer. Over tid fjerner ingen adgang, fordi det er risikabelt. Så i stedet for least privilege, får du maksimal eksponering.

Og endelig tror de fleste organisationer, at adgangs-gennemgang er en kontrol. De er det ikke. De er et plaster. Den virkelige kontrol er at forhindre giftig adgang fra starten. Veza hjælper team med at gå fra detektion til forebyggelse.

Virksomheden har hævet over 125 millioner dollars med støtte fra Accel, Sequoia og GV. Hvad siger dette niveau af investor-støtte om det kritiske punkt i løsningen af identitet i AI-æraen – og hvordan planlægger de at bruge denne momentum til at skale Vezas impact?

Det siger, at vi løser et generations-problem – og vi gør det på det helt rigtige tidspunkt. Identitet er nu frontdøren, brandmuren og det svageste led på én gang. Og AI har lige åbnet døren bredt.

Vore investorer forstår, at Veza ikke er et andet IAM-værktøj. Vi bygger kontrolplanet for adgang i AI-alderen. Vi bruger denne momentum til at accelerere platform-udvidelse, dybe vores økosystem-integrationer og skale globalt – især i regulerede sektorer som finansielle tjenester, sundhedsvesen og regering.

De har 18 patenter i, lager og styring. Er der nogen områder for innovation inden for Veza, som de tror vil sætte nye standarder for, hvordan branchen tilgår adgangs-styring i de næste 10 år?

Ja – to i særdeleshed.

Først, vores Adgangs-Graf: det er en universel model, der mapper identiteter til tilladelser til handlinger på tværs af ethvert system i realtid. Det er grundlæggende for least privilege, AI-styring og indre trussel-detektion.

Anden, autonom afhjælpning. Vi investerer massivt i selv-healing adgangs-miljøer – hvor overtrædelser detekteres, kontekstualiseres og korrigeres uden menneskelig indgriben. Det er, hvordan du styrer AI med AI.

I de næste 10 år vil adgangs-styring skifte fra reaktiv til autonom. Veza vil være motoren, der driver dette skift.

Sidst, de har sagt “talent har ingen grænser”. Hvad giver de råd til tekniske grundlæggere eller ingeniører, der bygger næste-generations-sikkerheds- eller AI-infrastruktur-virksomheder i dag?

Byg til kant-sæt, ikke den lykkelige vej. Fremtiden er rod – multi-cloud, multi-agent, multi-polar. Din arkitektur må antage kaos.

For det andet, vær ikke bange for at udfordre hellige køer. Sikkerhedsbranchen er fuld af arve-assumptioner – “just-in-time-adgang er nok”, “mennesker er problemet”, “audit betyder Excel”. Knus disse modeller.

Til sidst, ansæt mennesker, der er besatte af først-princippet. Værktøjer ændrer sig. Paradigmer skifter. Men klarhed af tanke og mission vinder hver gang.

Og ja – talent har ingen grænser. Byg globalt, byg divers, og byg til impact.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Veza.