Tarun Thakur, Συνιδρυτής και Διευθύνων Σύμβουλος της Veza – Σειρά Συνεντεύξεων

Ταρούν Τακούρ, Συνιδρυτής και Διευθύνων Σύμβουλος της Veza, είναι πρώην στέλεχος στις Data Domain, Veritas και IBM, με δεκαετίες εμπειρίας στην ανάπτυξη εταιρειών εταιρικής υποδομής. Συνίδρυσε την Veza για να αντιμετωπίσει την αυξανόμενη κρίση της εξάπλωσης ταυτότητας, με έμφαση στην παροχή σαφήνειας και ελέγχου σε σύνθετες υβριδικές και cloud-native αρχιτεκτονικές.

Βέζα είναι μια πλατφόρμα ασφάλειας ταυτότητας ειδικά σχεδιασμένη για σύγχρονα περιβάλλοντα πολλαπλών cloud, επιτρέποντας στους οργανισμούς να διαχειρίζονται και να επιβάλλουν δικαιώματα πρόσβασης σε εφαρμογές, πλατφόρμες cloud και συστήματα δεδομένων με απαράμιλλη ορατότητα και ακρίβεια. Υποστηριζόμενη από χρηματοδότηση άνω των 125 εκατομμυρίων δολαρίων —συμπεριλαμβανομένης μιας Σειράς C ύψους 110 εκατομμυρίων δολαρίων με επικεφαλής την Accel με συμμετοχή των Sequoia Capital, GV και Norwest Venture Partners— η Veza εξυπηρετεί κορυφαίες επιχειρήσεις όπως οι Blackstone, Autodesk, SoFi, Wynn Resorts και S&P Global για την πρόληψη παραβιάσεων, τον μετριασμό του εσωτερικού κινδύνου και τη διασφάλιση της συμμόρφωσης.

Έχετε συνιδρύσει με επιτυχία πολλές εταιρείες εταιρικής υποδομής όλα αυτά τα χρόνια. Τι σας ενέπνευσε να ξεκινήσετε το Veza και πώς οι προηγούμενες εμπειρίες σας στις Datos IO, Data Domain και IBM Research διαμόρφωσαν το όραμά σας για ασφάλεια με προτεραιότητα την ταυτότητα;

Κάθε εταιρεία που έχω δημιουργήσει έχει αντιμετωπίσει ένα θεμελιώδες τυφλό σημείο στην επιχειρηματική υποδομή - προστασία δεδομένων, ανθεκτικότητα, κλίμακα. Αλλά η ταυτότητα ήταν πάντα ο κρίκος που έλειπε. Στην Datos IO, βοηθήσαμε στην προστασία κρίσιμων δεδομένων σε εφαρμογές cloud-native, αλλά αντιμετωπίζαμε συνεχώς ένα βαθύτερο πρόβλημα: δεν γνωρίζαμε ποιος είχε πρόσβαση σε ποια δεδομένα ή γιατί. Αυτή είναι μια συστημική αποτυχία - όχι αποθήκευσης ή υπολογιστικής - αλλά διακυβέρνησης πρόσβασης.

Ίδρυσα τη Veza επειδή έβλεπα ένα μέλλον όπου η ταυτότητα θα ήταν η κύρια επιφάνεια επίθεσης. Και ζούμε σε αυτό το μέλλον τώρα. Ο κλάδος είχε περάσει 20 χρόνια προσποιούμενος ότι το IAM ήταν ένα πρόβλημα με το πλαίσιο ελέγχου. Δεν είναι. Είναι ένα συνεχές επίπεδο ελέγχου. Είναι το σημείο όπου η ασφάλεια, η συμμόρφωση και η παραγωγικότητα συγκρούονται. Η αποστολή μας είναι να κάνουμε την πρόσβαση όχι μόνο ορατή, αλλά και εφαρμόσιμη.

Απλώς κοιτάξτε την εξαγορά της CyberArk από την Palo Alto. Είναι το πιο ξεκάθαρο μήνυμα του κλάδου μέχρι στιγμής ότι η ταυτότητα δεν είναι μια λειτουργία back-office - είναι πλέον πυρήνας της στρατηγικής ασφάλειας των επιχειρήσεων. Αλλά ακόμη και με αυτή τη συμφωνία, η αγορά εξακολουθεί να λείπει από αυτό που χρειάζονται περισσότερο οι σύγχρονες επιχειρήσεις: ορατότητα σε πραγματικό χρόνο σε ό,τι μπορούν να κάνουν οι ταυτότητες, σε κάθε εφαρμογή, σύστημα και σύνολο δεδομένων. Αυτό είναι το κενό που καλύπτει η Veza.

Εισερχόμαστε σε μια νέα εποχή όπου οι πράκτορες Τεχνητής Νοημοσύνης δεν είναι απλώς εργαλεία αλλά και δρώντες - έχουν πρόσβαση σε συστήματα, δεδομένα και εφαρμογές αυτόνομα. Πώς αυτή η μετατόπιση αμφισβητεί τα παραδοσιακά παραδείγματα διαχείρισης ταυτότητας και πρόσβασης (IAM);

Το IAM σχεδιάστηκε για ανθρώπους. Η πρακτορική τεχνητή νοημοσύνη διασπά εντελώς αυτό το μοντέλο. Πρόκειται για αυτόνομες οντότητες που λαμβάνουν αποφάσεις, παράγουν αποτελέσματα, αλυσιδώνουν ροές εργασίας, ενεργοποιούν την πρόσβαση σε μεταγενέστερα στάδια—με την ταχύτητα της μηχανής. Ωστόσο, τα περισσότερα εργαλεία IAM εξακολουθούν να ρωτούν: «Σε ποια ομάδα ανήκει αυτή η ταυτότητα;» Αυτό είναι γελοίο.

Η αλλαγή παραδείγματος είναι η εξής: η πρόσβαση δεν παρέχεται πλέον χειροκίνητα — είναι αναδυόμενη, δυναμική και βασίζεται στα συμφραζόμενα. Δεν μπορείτε να τη διαχειριστείτε με στατικούς ρόλους και παλιά δικαιώματα. Χρειάζεστε πληροφορίες πρόσβασης σε πραγματικό χρόνο. Χρειάζεστε συστήματα που κατανοούν τι μπορεί να κάνει ένας πράκτορας Τεχνητής Νοημοσύνης σε κάθε σύστημα — όχι μόνο τι του «επιτρέπεται» να κάνει θεωρητικά.

Ο Veza έχει εκφράσει έντονα την ανησυχία του για τον αυξανόμενο κίνδυνο των μη ανθρώπινων ταυτοτήτων - πράκτορες τεχνητής νοημοσύνης, λογαριασμοί υπηρεσιών, bots. Πώς διαφοροποιείτε τον νόμιμο αυτοματισμό από την επικίνδυνη υπερβολική αδειοδότηση σε δυναμικά περιβάλλοντα όπως το DevOps ή τα χρηματοοικονομικά;

Αυτό είναι το ερώτημα των 10 δισεκατομμυρίων δολαρίων. Οι περισσότεροι οργανισμοί δεν μπορούν καν να καταγράψουν τις μη ανθρώπινες ταυτότητές τους, πόσο μάλλον να τις κυβερνήσουν. Ο Veza αντιστρέφει το μοντέλο: δεν ξεκινάμε με την ταυτότητα - ξεκινάμε με την ενέργεια. Ποιος ή τι μπορεί να διαβάσει αυτόν τον κάδο S3; Ποιος μπορεί να διαγράψει γραμμές σε αυτήν τη βάση δεδομένων παραγωγής;

Στο DevOps ή στα χρηματοοικονομικά, ο αυτοματισμός είναι απαραίτητος. Αλλά το ίδιο ισχύει και για τους περιορισμούς. Χρειάζεστε λεπτομερή ορατότητα σε ό,τι μπορούν να κάνουν αυτές οι ταυτότητες αυτή τη στιγμή, όχι σε ό,τι έλεγε κάποιο IAM ticket πριν από έξι μήνες. Και πρέπει να μπορείτε να το κλείσετε αμέσως όταν αυτή η πρόσβαση γίνει τοξική. Αυτή είναι η υπερδύναμη του Veza.

Καθώς οι επιχειρήσεις ενσωματώνουν την Τεχνητή Νοημοσύνη σε κρίσιμες ροές εργασίας, η επιβολή σε πραγματικό χρόνο της πρόσβασης με τα λιγότερα προνόμια καθίσταται απαραίτητη. Μπορείτε να μας εξηγήσετε πώς το Veza επιτρέπει αυτό το επίπεδο λεπτομέρειας σε υβριδικές και πολυ-cloud υποδομές;

Η λεπτομέρεια χωρίς αυτοματοποίηση είναι άχρηστη. Το Veza συνδέεται απευθείας με το επίπεδο ελέγχου —είτε πρόκειται για AWS, Salesforce, Snowflake ή SAP— και δημιουργεί ένα γράφημα κάθε δικαιώματος, κάθε ρόλου, κάθε ενέργειας που είναι διαθέσιμη σε μια ταυτότητα. Άνθρωπο ή μηχανή. On-prem ή cloud. Είναι ένα ενιαίο δίκτυο πρόσβασης.

Στη συνέχεια, προσθέτουμε ένα επιχειρηματικό πλαίσιο—ποιος κατέχει την εφαρμογή, πότε χρησιμοποιήθηκε τελευταία φορά, αν αποτελεί μέρος μιας κρίσιμης διαδικασίας. Αυτό σας επιτρέπει να δημιουργείτε πολιτικές όπως: «Κανένας πράκτορας GenAI δεν μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα (PII) εκτός εάν έχει εγκριθεί και καταγραφεί ρητά». Και αν κάτι παραβιάσει αυτόν τον κανόνα, το Veza μπορεί να σας ειδοποιήσει, να σας ανακαλέσει ή να σας διορθώσει σε πραγματικό χρόνο. Έτσι επιβάλλετε τα ελάχιστα προνόμια σε μεγάλη κλίμακα.

Περιγράψατε το Veza ως εταιρεία που παρέχει «ευφυΐα πρόσβασης». Τι σημαίνει αυτό στην πράξη και πώς διαφέρει από τις παραδοσιακές λύσεις ελέγχου πρόσβασης ή τις πλατφόρμες διακυβέρνησης ταυτότητας;

Η ευφυΐα πρόσβασης σημαίνει να γνωρίζετε, ανά πάσα στιγμή, τι μπορεί να κάνει κάθε ταυτότητα - ανθρώπινη ή μη -, πού και γιατί. Τα παραδοσιακά εργαλεία σάς ενημερώνουν για το τι έχει δοθεί σε έναν χρήστη. Εμείς σας λέμε τι μπορεί πραγματικά να κάνει αυτή τη στιγμή και αν αυτό είναι ασφαλές.

Τα εργαλεία IGA αναλαμβάνουν τη διακυβέρνηση σε τριμηνιαία βάση. Η Veza αναλαμβάνει τη διακυβέρνηση συνεχώς. Τα εργαλεία PAM εστιάζουν σε ένα μικρό υποσύνολο προνομιακών λογαριασμών. Καλύπτουμε κάθε ταυτότητα, κάθε εφαρμογή, κάθε δικαίωμα. Και το κάνουμε με βάση τα συμφραζόμενα για να λαμβάνουμε έξυπνες αποφάσεις — όχι μόνο θόρυβο καταγραφής.

Εξετάζοντας το μέλλον της Τεχνητής Νοημοσύνης (Agentic AI), πώς θα πρέπει να εξελιχθούν οι αρχιτεκτονικές ασφαλείας για να συμβαδίσουν; Σε ποιες δυνατότητες πρέπει να αρχίσουν να επενδύουν οι οργανισμοί σήμερα για να αποφύγουν αποτυχίες συμμόρφωσης ή εσωτερικές παραβιάσεις αύριο;

Οι ομάδες ασφαλείας πρέπει να σταματήσουν να σκέφτονται με βάση τους χρήστες και να αρχίσουν να σκέφτονται με βάση τις ενέργειες. Οι πράκτορες της τεχνητής νοημοσύνης δεν καταγράφουν την παρουσία και την έξοδο. Δεν συμπληρώνουν φόρμες αιτήματος πρόσβασης. Σπαρτάρουν, ενεργούν και εξαφανίζονται.

Χρειάζεστε αρχιτεκτονικές που έχουν επίγνωση πρόσβασης, είναι πραγματικού χρόνου και γειτονικές με το επίπεδο ελέγχου. Αυτό σημαίνει:

• Συνεχής παρακολούθηση αδειών
• Βασική γραμμή συμπεριφοράς τεχνητής νοημοσύνης
• Ανάκληση αυτόνομης πρόσβασης
• Δυνατότητα ελέγχου χωρίς παραβίαση σε όλες τις αλληλεπιδράσεις με την Τεχνητή Νοημοσύνη

Αυτό δεν είναι προαιρετικό. Κάθε πράκτορας Τεχνητής Νοημοσύνης αποτελεί πιθανή εσωτερική απειλή—και τα πλαίσια συμμόρφωσης καλύπτουν γρήγορα το κενό. Εάν δεν μπορείτε να εξηγήσετε ποιος έκανε τι και γιατί, θα αποτύχετε σε ελέγχους, θα χάσετε την εμπιστοσύνη ή θα συμβεί κάτι χειρότερο.

Η Veza έχει ως πελάτες της μεγάλες μάρκες όπως η Autodesk, η Blackstone και η S&P Global. Ποια κοινά μοτίβα ή λάθη βλέπετε να κάνουν ακόμη και οι πιο ώριμοι οργανισμοί όσον αφορά τη διακυβέρνηση ταυτότητας;

Το πιο συνηθισμένο λάθος; Υποθέτοντας ότι ανήκει σε κάποιον άλλο. Το IAM συχνά μένει ορφανό μεταξύ ασφάλειας, πληροφορικής, συμμόρφωσης και μηχανικής. Αυτός ο κατακερματισμός σκοτώνει την λογοδοσία.

Ένα άλλο ζήτημα είναι η διασπορά ρόλων —ειδικά σε ώριμους οργανισμούς. Με την πάροδο του χρόνου, κανείς δεν καταργεί την πρόσβαση επειδή είναι επικίνδυνο. Έτσι, αντί για τα λιγότερα προνόμια, έχετε τη μέγιστη έκθεση.

Και τέλος, οι περισσότεροι οργανισμοί πιστεύουν ότι οι αξιολογήσεις πρόσβασης είναι ένας έλεγχος. Δεν είναι. Είναι ένα απλό τσιρότο. Ο πραγματικός έλεγχος είναι η πρόληψη της τοξικής πρόσβασης εξαρχής. Το Veza βοηθά τις ομάδες να μεταβούν από ντετέκτιβ σε προληπτικό.

Η εταιρεία έχει αυξήθηκε πάνω από 125 εκατομμύρια δολάρια με την υποστήριξη των Accel, Sequoia και GV. Τι λέει αυτό το επίπεδο υποστήριξης από τους επενδυτές για τον επείγοντα χαρακτήρα της επίλυσης ζητημάτων ταυτότητας στην εποχή της Τεχνητής Νοημοσύνης—και πώς σκοπεύετε να χρησιμοποιήσετε αυτήν την ορμή για να κλιμακώσετε τον αντίκτυπο της Veza;

Λέει ότι λύνουμε ένα γενεαλογικό πρόβλημα—και το κάνουμε ακριβώς την κατάλληλη στιγμή. Η ταυτότητα είναι πλέον η μπροστινή πόρτα, το τείχος προστασίας και ο πιο αδύναμος κρίκος ταυτόχρονα. Και η Τεχνητή Νοημοσύνη μόλις άνοιξε διάπλατα αυτή την πόρτα.

Οι επενδυτές μας κατανοούν ότι το Veza δεν είναι απλώς ένα ακόμη εργαλείο IAM. Χτίζουμε το επίπεδο ελέγχου για την πρόσβαση στην εποχή της Τεχνητής Νοημοσύνης. Χρησιμοποιούμε αυτήν την ορμή για να επιταχύνουμε την επέκταση της πλατφόρμας, να εμβαθύνουμε τις ενσωματώσεις του οικοσυστήματός μας και να επεκταθούμε σε παγκόσμιο επίπεδο — ειδικά σε ρυθμιζόμενους τομείς όπως οι χρηματοπιστωτικές υπηρεσίες, η υγειονομική περίθαλψη και η κυβέρνηση.

Διαθέτετε 18 διπλώματα ευρεσιτεχνίας στην ασφάλεια, την αποθήκευση και τη διαχείριση δεδομένων. Υπάρχουν τομείς καινοτομίας εντός της Veza που πιστεύετε ότι θα θέσουν νέα πρότυπα για τον τρόπο με τον οποίο ο κλάδος προσεγγίζει τη διακυβέρνηση της πρόσβασης την επόμενη δεκαετία;

Ναι—δύο συγκεκριμένα.

Πρώτον, το Γράφημα Πρόσβασης: είναι ένα καθολικό μοντέλο που αντιστοιχίζει ταυτότητες με δικαιώματα σε ενέργειες σε οποιοδήποτε σύστημα, σε πραγματικό χρόνο. Αυτό είναι το θεμέλιο για τα ελάχιστα προνόμια, τη διακυβέρνηση της Τεχνητής Νοημοσύνης και την ανίχνευση εσωτερικών απειλών.

Δεύτερον, αυτόνομη αποκατάσταση. Επενδύουμε σε μεγάλο βαθμό σε περιβάλλοντα πρόσβασης με δυνατότητα αυτο-επιδιόρθωσης—όπου οι παραβιάσεις εντοπίζονται, εντάσσονται στο πλαίσιο και διορθώνονται χωρίς ανθρώπινη παρέμβαση. Έτσι κυβερνάται η Τεχνητή Νοημοσύνη με την Τεχνητή Νοημοσύνη.

Κατά την επόμενη δεκαετία, η διακυβέρνηση της πρόσβασης θα μετατοπιστεί από αντιδραστική σε αυτόνομη. Το Veza θα είναι η κινητήρια δύναμη αυτής της αλλαγής.

Τέλος, έχετε πει ότι «το ταλέντο δεν έχει όρια». Τι συμβουλή θα δίνατε στους τεχνικούς ιδρυτές ή μηχανικούς που δημιουργούν σήμερα εταιρείες ασφάλειας επόμενης γενιάς ή υποδομών τεχνητής νοημοσύνης;

Κατασκευάστε για τις ακραίες περιπτώσεις, όχι για την ευτυχή πορεία. Το μέλλον είναι ακατάστατο - πολλαπλό cloud, πολλαπλοί πράκτορες, πολυπολικό. Η αρχιτεκτονική σας πρέπει να υποθέτει το χάος.

Δεύτερον, μην φοβάστε να αμφισβητήσετε τις ιερές αγελάδες. Ο κλάδος της ασφάλειας είναι γεμάτος με παλιές υποθέσεις — «η έγκαιρη πρόσβαση είναι αρκετή», «οι άνθρωποι είναι το πρόβλημα», «έλεγχος σημαίνει υπεροχή». Σπάστε αυτά τα μοντέλα.

Τέλος, προσλάβετε άτομα που έχουν εμμονή με τις βασικές αρχές. Τα εργαλεία αλλάζουν. Τα παραδείγματα αλλάζουν. Αλλά η σαφήνεια της σκέψης και η αποστολή κερδίζουν πάντα.

Και ναι—το ταλέντο δεν έχει όρια. Χτίστε παγκόσμια, χτίστε ποικιλόμορφα και χτίστε για αντίκτυπο.

Σας ευχαριστούμε για την υπέροχη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα πρέπει να το επισκεφτούν Βέζα.