Tarun Thakur, medgrunnlegger og CEO av Veza – Intervju-serie

Tarun Thakur, medgrunnlegger og CEO av Veza, er en tidligere leder i Data Domain, Veritas og IBM, med tiår av erfaring i å bygge bedriftsinfrastruktur-selskaper. Han grunnla Veza for å løse den økende krisen med identitetsspredning, med fokus på å gi klarhet og kontroll i komplekse hybrid- og cloud-native-arkitekturer.

Veza er en identitetssikkerhetsplattform som er spesialbygd for moderne, multi-cloud-miljøer, og som gjør det mulig for organisasjoner å håndtere og påtvinge tilgangsrettigheter på tvers av applikasjoner, cloud-plattformer og datasystemer med ubetinget synlighet og presisjon. Med over 125 millioner dollar i finansiering, inkludert en serie C på 110 millioner dollar ledet av Accel med deltakelse fra Sequoia Capital, GV og Norwest Venture Partners, betjener Veza ledende bedrifter som Blackstone, Autodesk, SoFi, Wynn Resorts og S&P Global for å forebygge brudd, minimere indre risiko og sikre samsvar.

Du har suksessfullt grunnlagt flere bedriftsinfrastruktur-selskaper gjennom årene. Hva inspirerte deg til å lansere Veza, og hvordan har dine tidligere erfaringer i Datos IO, Data Domain og IBM Research formet din visjon for identitet-først-sikkerhet?

Hvert selskap jeg har bygd, har tatt for seg et grunnleggende blindpunkt i bedriftsinfrastruktur – datavern, motstandskraft, skala. Men identitet var alltid det manglende leddet. I Datos IO hjalp vi med å beskytte kritisk data på tvers av cloud-native-applikasjoner, men vi sto konstant overfor et dypere problem: vi visste ikke hvem som hadde tilgang til hva slags data, eller hvorfor. Dette er et systemisk svikt – ikke av lagring eller beregning – men av tilgangsstyring.

Jeg grunnla Veza fordi jeg så en fremtid hvor identitet ville være det primære angrepsflaten. Og vi lever i denne fremtiden nå. Bransjen har brukt 20 år på å late som om IAM var et avkryssingsproblem. Det er det ikke. Det er en kontinuerlig kontrollplane. Det er der sikkerhet, samsvar og produktivitet alle kolliderer. Vår misjon er å gjøre tilgang ikke bare synlig, men også håndterbar.

Bare se på Palo Altos oppkjøp av CyberArk. Det er bransjens tydeligste signal hittil om at identitet ikke er en bakkontor-funksjon – det er nå kjerne til bedriftssikkerhetsstrategi. Men selv med denne avtalen, mangler markedet fortsatt hva moderne bedrifter trenger mest: sanntidssynlighet på hva identiteter kan gjøre, på tvers av hver applikasjon, system og datasamling. Det er gapet Veza fyller.

Vi går inn i en ny æra hvor AI-agenter ikke bare er verktøy, men også aktører – som aksesserer systemer, data og applikasjoner på egen hånd. Hvordan utforderer denne skiftet de tradisjonelle paradigmer for identitet og tilgangsstyring (IAM)?

IAM var designet for mennesker. Agentisk AI bryter fullstendig med denne modellen. Disse er autonome enheter som tar beslutninger, genererer utdata, kjeder arbeidsflyter, utløser nedstrøms tilgang – i maskinhastighet. Likevel spør de fleste IAM-verktøyene fortsatt: “Hvilken gruppe tilhører denne identiteten?” Det er latterlig.

Paradigmeskiftet er dette: tilgang er ikke lenger manuelt tilkjent – det er fremkommet, dynamisk og kontekstuell. Du kan ikke håndtere det med statiske roller og utløpte rettigheter. Du trenger sanntidssynlighet på hva en AI-aktør kan gjøre på tvers av hver system – ikke bare hva den er “tillatt” å gjøre i teorien.

Veza har vært åpen om den økende risikoen for ikke-menneskelige identiteter – AI-agenter, servicekontoer, boter. Hvordan skille du mellom legitim automatisering og risikofylt over-tilkjennelse i dynamiske miljøer som DevOps eller finans?

Det er den 10 milliarder-dollar-spørsmålet. De fleste organisasjonene kan ikke engang inventarisere sine ikke-menneskelige identiteter, la alene styre dem. Veza snur modellen: vi starter ikke med identiteten – vi starter med handlingen. Hvem eller hva kan lese denne S3-bunken? Hvem kan slette rader i denne produksjonsdatabasen?

I DevOps eller finans er automatisering essensiell. Men så er også begrensning. Du trenger fin-grådig synlighet på hva disse identitetene kan gjøre nå, ikke hva noen IAM-billett sa for seks måneder siden. Og du trenger å kunne stoppe det umiddelbart når den tilgangen blir giftig. Det er Veza sin superkraft.

Som bedrifter integrerer AI i kritiske arbeidsflyter, blir sanntidssynlighet på tilgangsrettigheter essensiell. Kan du gå gjennom hvordan Veza muliggjør denne nivået av granularitet på tvers av hybrid- og multi-cloud-infrastrukturer?

Granularitet uten automatisering er nytteløs. Veza kobler direkte til kontrollplanet – enten det er AWS, Salesforce, Snowflake eller SAP – og bygger en graf over hver tillatelse, hver rolle, hver handling tilgjengelig for en identitet. Menneskelig eller maskin. På egen hånd eller i skyen. Det er ett forent tilgangsstoff.

Deretter legger vi til en forretningskontekst – hvem eier applikasjonen, når ble den sist brukt, er den del av en kritisk prosess. Det lar deg opprette politikker som: “Ingen GenAI-aktør kan aksessere PII med mindre det er eksplisitt godkjent og logget.” Og hvis noe bryter denne regelen, kan Veza varsle, tilbakekalle eller rette opp i sanntid. Det er hvordan du påtvinger minst mulig tilgang på en skala.

Du har beskrevet Veza som å gi “tilgangsintelligens”. Hva betyr det i praktisk forstand, og hvordan er det forskjellig fra tradisjonelle tilgangskontroll-løsninger eller identitet-styringsplattformer?

Tilgangsintelligens betyr å vite, på ethvert øyeblikk, hva hver identitet – menneskelig eller ikke-menneskelig – kan gjøre, hvor og hvorfor. Tradisjonelle verktøy forteller deg hva en bruker har blitt gitt. Vi forteller deg hva de faktisk kan gjøre nå, og om det er trygt.

IGA-verktøy gjør styring på kvartalsbasis. Veza gjør styring kontinuerlig. PAM-verktøy fokuserer på en liten undergruppe av privilegerte kontoer. Vi dekker hver identitet, hver applikasjon, hver rettighet. Og vi gjør det med konteksten til å ta smarte beslutninger – ikke bare loggstøy.

Ser vi mot fremtiden for Agentisk AI, hvordan bør sikkerhetsarkitekturer utvikle seg for å holde tritt?

Sikkerhetsteam må slutte å tenke i termer av brukere og starte å tenke i termer av handlinger. AI-agenter klokkes ikke inn og ut. De fyller ikke ut tilgangsforespørsler. De spinner opp, handler og forsvinner.

Du trenger arkitekturer som er tilgangsbevisste, sanntidssynlige og kontrollplane-tilstøtende. Det betyr:

• Kontinuerlig tillatelsesovervåking
• AI-atferdsbaselining
• Autonom tilgangs-tilbakekalling
• Uødeliggjørbar overvåkbarhet på tvers av alle AI-interaksjoner

Dette er ikke valgfritt. Hver AI-aktør er en potensiell indre trussel – og samsvar-rammeverkene er på vei til å fange opp. Hvis du ikke kan forklare hvem som gjorde hva og hvorfor, vil du feile auditor, tape tillit eller verre.

Veza teller store merker som Autodesk, Blackstone og S&P Global blant sine kunder. Hva er vanlige mønster eller feil du ser selv de mest modne organisasjonene gjøre når det gjelder identitet-styring?

Den vanligste feilen? Anta at noen andre eier det. IAM er ofte forlatt mellom sikkerhet, IT, samsvar og ingeniører. Den fragmenteringen dreper ansvar.

Et annet problem er rollespredning – spesielt i modne organisasjoner. Over tid fjerner ingen tilgang fordi det er risikabelt. Så i stedet for minst mulig tilgang, får du maksimal eksponering.

Og til slutt, tror de fleste organisasjoner at tilgangsgjennomganger er en kontroll. De er det ikke. De er et plaster. Den virkelige kontrollen er å forhindre giftig tilgang fra første sted. Veza hjelper teamene å gå fra detektive til forebyggende.

Selskapet har samlet inn over 125 millioner dollar med støtte fra Accel, Sequoia og GV. Hva sier dette nivået av investor-støtte om急heten ved å løse identitet i AI-æraen – og hvordan planlegger du å bruke denne momentum til å skalle Veza sin påvirkning?

Det sier at vi løser et generasjonsgt problem – og vi gjør det på akkurat rett tid. Identitet er nå frontdøren, brannmuren og svakeste lenken alle på en gang. Og AI har nettopp sparket den døren åpen.

Våre investorer forstår at Veza ikke bare er et annet IAM-verktøy. Vi bygger kontrollplanet for tilgang i AI-æraen. Vi bruker denne momentum til å akselerere plattform-utvidelse, dykke dyptere i økosystem-integrasjoner og skalle globalt – spesielt i regulerte sektorer som finansielle tjenester, helse og regjering.

Du har 18 patenter i datasikkerhet, lagring og styring. Er det noen områder for innovasjon innen Veza som du tror vil sette nye standarder for hvordan bransjen nærmer seg tilgangsstyring over de neste ti årene?

Ja – to i særlig.

Først, vår tilgangsgraf: det er en universell modell som kartlegger identiteter til tillatelser til handlinger på tvers av hver system, i sanntid. Det er grunnleggende for minst mulig tilgang, AI-styring og indre trussel-dettektion.

Andre, autonom remediering. Vi investerer tungt i selvhelende tilgangsmiljøer – hvor brudd blir oppdaget, kontekstualisert og korrigert uten menneskelig inngripen. Det er hvordan du styrer AI med AI.

Over de neste ti årene, vil tilgangsstyring skifte fra reaktiv til autonom. Veza vil være motoren som driver denne skiftet.

Til slutt, du har sagt “talent har ingen grenser”. Hva råd ville du gi til tekniske grunnleggere eller ingeniører som bygger neste-generasjons sikkerhets- eller AI-infrastruktur-selskaper i dag?

Bygg for kanttilfellene, ikke den lykkelige veien. Fremtiden er rotete – multi-cloud, multi-aktør, multi-polar. Din arkitektur må anta kaos.

For det andre, vær ikke redd for å utfordre hellige kuer. Sikkerhetsbransjen er full av arvtagende antakelser – “når som helst-tilgang er nok”, “mennesker er problemet”, “audit betyr Excel”. Knus disse modellene.

Til slutt, hyr mennesker som er besatt av førstegradssaker. Verktøy endrer seg. Paradigmer skifter. Men klarhet av tanke og misjon vinner hver gang.

Og ja – talent har ingen grenser. Bygg globalt, bygg mangfoldig og bygg for påvirkning.

Takk for det flotte intervjuet, lesere som ønsker å lære mer bør besøke Veza.