Phỏng vấn

Tarun Thakur, Đồng sáng lập và CEO của Veza – Loạt phỏng vấn

mm
Published
Updated

Tarun Thakur, Đồng sáng lập và CEO của Veza, là một cựu giám đốc điều hành tại Data Domain, Veritas và IBM, mang lại nhiều thập kỷ kinh nghiệm trong việc xây dựng các công ty cơ sở hạ tầng doanh nghiệp. Ông đồng sáng lập Veza để giải quyết cuộc khủng hoảng ngày càng tăng về sự phân tán danh tính, với trọng tâm là cung cấp sự rõ ràng và kiểm soát trong các kiến trúc phức tạp và đám mây bản địa.

Veza là một nền tảng bảo mật danh tính được thiết kế dành cho các môi trường đa đám mây hiện đại, cho phép các tổ chức quản lý và thực thi các quyền truy cập trên các ứng dụng, nền tảng đám mây và hệ thống dữ liệu với khả năng hiển thị và chính xác không thể sánh được. Với hơn 125 triệu đô la tiền vốn – bao gồm 110 triệu đô la vòng Series C do Accel dẫn đầu với sự tham gia của Sequoia Capital, GV và Norwest Venture Partners – Veza phục vụ các doanh nghiệp hàng đầu như Blackstone, Autodesk, SoFi, Wynn Resorts và S&P Global để ngăn chặn các vụ vi phạm, giảm thiểu rủi ro từ bên trong và đảm bảo tuân thủ.

Bạn đã thành công trong việc đồng sáng lập nhiều công ty cơ sở hạ tầng doanh nghiệp trong những năm qua. Điều gì đã truyền cảm hứng cho bạn để ra mắt Veza, và kinh nghiệm của bạn tại Datos IO, Data Domain và IBM Research đã định hình tầm nhìn của bạn về bảo mật danh tính như thế nào?

Mỗi công ty tôi xây dựng đều giải quyết một điểm mù cơ bản trong cơ sở hạ tầng doanh nghiệp – bảo vệ dữ liệu, khả năng phục hồi, quy mô. Nhưng danh tính luôn là liên kết bị thiếu. Tại Datos IO, chúng tôi đã giúp bảo vệ dữ liệu quan trọng trên các ứng dụng bản địa đám mây, nhưng chúng tôi liên tục gặp phải một vấn đề sâu hơn: chúng tôi không biết ai có quyền truy cập vào dữ liệu nào, hoặc tại sao. Đó là một thất bại hệ thống – không phải của lưu trữ hoặc tính toán – mà của quản lý truy cập.

Tôi thành lập Veza vì tôi nhìn thấy một tương lai nơi danh tính sẽ là bề mặt tấn công chính. Và chúng ta đang sống trong tương lai đó ngay bây giờ. Ngành công nghiệp đã dành 20 năm để giả vờ rằng IAM là một vấn đề kiểm tra. Nó không phải là như vậy. Nó là một mặt điều khiển liên tục. Đó là nơi an ninh, tuân thủ và năng suất đều va chạm. Sứ mệnh của chúng tôi là làm cho truy cập không chỉ hiển thị mà còn có thể hành động.

Hãy nhìn vào việc Palo Alto mua lại CyberArk. Đó là tín hiệu rõ ràng nhất của ngành công nghiệp cho đến nay rằng danh tính không phải là một chức năng văn phòng phía sau – nó bây giờ là cốt lõi của chiến lược an ninh doanh nghiệp. Nhưng ngay cả với thỏa thuận đó, thị trường vẫn thiếu những gì các doanh nghiệp hiện đại cần nhất: khả năng hiển thị thời gian thực về những gì các danh tính có thể làm, trên mọi ứng dụng, hệ thống và tập dữ liệu. Đó là khoảng trống mà Veza lấp đầy.

Chúng ta đang bước vào một kỷ nguyên mới nơi các tác nhân AI không chỉ là công cụ mà còn là tác nhân – truy cập tự động vào các hệ thống, dữ liệu và ứng dụng. Làm thế nào sự thay đổi này thách thức các mô hình truyền thống về quản lý danh tính và truy cập (IAM)?

IAM được thiết kế cho con người. Các tác nhân AI tự động phá vỡ mô hình đó hoàn toàn. Những thực thể này đưa ra quyết định, tạo ra đầu ra, tạo chuỗi công việc, kích hoạt truy cập hạ lưu – với tốc độ máy. Tuy nhiên, hầu hết các công cụ IAM vẫn hỏi: “Nhóm nào có danh tính này?” Đó là điều đáng cười.

Sự thay đổi mô hình là: truy cập không còn được cấp phát thủ công – nó xuất hiện, động và ngữ cảnh. Bạn không thể quản lý nó với các vai trò tĩnh và các quyền được cấp phát cũ. Bạn cần thông tin truy cập thời gian thực. Bạn cần các hệ thống hiểu những gì một tác nhân AI có thể làm trên mọi hệ thống – không chỉ những gì nó được phép làm trên lý thuyết.

Veza đã lên tiếng về rủi ro ngày càng tăng của các danh tính phi con người – các tác nhân AI, tài khoản dịch vụ, bot. Làm thế nào bạn phân biệt giữa tự động hóa hợp pháp và cấp quyền truy cập rủi ro trong các môi trường động như DevOps hoặc tài chính?

Đó là câu hỏi 10 tỷ đô la. Hầu hết các tổ chức không thể thậm chí kiểm kê các danh tính phi con người, chứ không nói đến việc quản lý chúng. Veza đảo ngược mô hình: chúng tôi không bắt đầu với danh tính – chúng tôi bắt đầu với hành động. Ai hoặc cái gì có thể đọc bucket S3 này? Ai có thể xóa hàng trong cơ sở dữ liệu sản xuất này?

Trong DevOps hoặc tài chính, tự động hóa là điều cần thiết. Nhưng sự hạn chế cũng quan trọng. Bạn cần khả năng hiển thị chi tiết về những gì các danh tính có thể làm ngay bây giờ, không phải những gì một vé IAM nói sáu tháng trước. Và bạn cần có thể tắt nó ngay lập tức khi truy cập trở nên độc hại. Đó là siêu năng lực của Veza.

Làm thế nào Veza cho phép thực thi truy cập với quyền tối thiểu trong thời gian thực trên các cơ sở hạ tầng đa đám mây và lai?

Chi tiết không có tự động hóa là vô ích. Veza kết nối trực tiếp với mặt điều khiển – cho dù đó là AWS, Salesforce, Snowflake hay SAP – và xây dựng một biểu đồ của mọi quyền, mọi vai trò, mọi hành động có sẵn cho một danh tính. Con người hay máy. Trên cơ sở hoặc đám mây. Đó là một vải truy cập thống nhất.

Sau đó, chúng tôi thêm một ngữ cảnh kinh doanh – ai sở hữu ứng dụng, khi nào nó được sử dụng lần cuối, liệu nó có phải là một quá trình quan trọng. Điều đó cho phép bạn tạo các chính sách như: “Không có tác nhân AI nào có thể truy cập PII trừ khi nó được phê duyệt rõ ràng và ghi nhật ký.” Và nếu điều gì đó vi phạm quy tắc đó, Veza có thể cảnh báo, thu hồi hoặc khắc phục trong thời gian thực. Đó là cách bạn thực thi quyền tối thiểu trên quy mô.

Bạn đã mô tả Veza như một nền tảng cung cấp “truy cập thông minh.” Điều đó có nghĩa là gì trong thực tế và làm thế nào nó khác với các giải pháp kiểm soát truy cập truyền thống hoặc các nền tảng quản lý danh tính?

Truy cập thông minh có nghĩa là biết, tại bất kỳ thời điểm nào, những gì mọi danh tính – con người hoặc phi con người – có thể làm, ở đâu và tại sao. Các công cụ truyền thống cho bạn biết những gì một người dùng đã được cấp. Chúng tôi cho bạn biết những gì họ có thể làm ngay bây giờ và liệu đó có an toàn hay không.

Các công cụ IGA thực hiện quản lý trên cơ sở hàng quý. Veza thực hiện quản lý liên tục. Các công cụ PAM tập trung vào một tập hợp nhỏ các tài khoản đặc quyền. Chúng tôi bao gồm mọi danh tính, mọi ứng dụng, mọi quyền. Và chúng tôi làm điều đó với ngữ cảnh để đưa ra quyết định thông minh – không chỉ tạo ra tiếng ồn nhật ký.

Nhìn vào tương lai của Trí tuệ nhân tạo tự động, kiến trúc an ninh nên phát triển như thế nào để theo kịp? Những khả năng nào các tổ chức nên bắt đầu đầu tư ngay hôm nay để tránh thất bại tuân thủ hoặc vi phạm nội bộ vào ngày mai?

Các đội an ninh phải ngừng nghĩ về người dùng và bắt đầu nghĩ về hành động. Các tác nhân AI không đăng nhập và đăng xuất. Họ không điền vào các biểu mẫu yêu cầu truy cập. Họ bật lên, hành động và biến mất.

Bạn cần các kiến trúc nhận thức truy cập, thời gian thực và liền kề với mặt điều khiển. Điều đó có nghĩa là:

  • Giám sát quyền liên tục
  • Tiêu chuẩn hóa hành vi AI
  • Thu hồi truy cập tự động
  • Khả năng kiểm toán không thể giả mạo trên tất cả các tương tác AI

Điều này không phải là tùy chọn. Mỗi tác nhân AI đều là một mối đe dọa từ bên trong tiềm năng – và các khuôn khổ tuân thủ đang bắt kịp nhanh chóng. Nếu bạn không thể giải thích ai đã làm gì và tại sao, bạn sẽ thất bại trong các cuộc kiểm toán, mất niềm tin hoặc tồi tệ hơn.

Veza có các thương hiệu lớn như Autodesk, Blackstone và S&P Global trong số khách hàng của mình. Những mẫu hoặc sai lầm phổ biến nào bạn thấy ngay cả các tổ chức trưởng thành nhất cũng mắc phải khi nói đến quản lý danh tính?

Sai lầm phổ biến nhất? Giả định rằng ai đó khác sở hữu nó. IAM thường bị mồ côi giữa an ninh, CNTT, tuân thủ và kỹ thuật. Sự phân mảnh đó giết chết trách nhiệm.

Một vấn đề khác là sự lan rộng của vai trò – đặc biệt là trong các tổ chức trưởng thành. Theo thời gian, không ai loại bỏ quyền truy cập vì nó rủi ro. Thay vào đó, bạn nhận được sự phơi nhiễm tối đa.

Và cuối cùng, hầu hết các tổ chức nghĩ rằng các cuộc xem xét truy cập là một kiểm soát. Chúng không phải là như vậy. Chúng là một miếng dán. Kiểm soát thực sự là ngăn chặn truy cập độc hại từ đầu. Veza giúp các nhóm chuyển từ phát hiện sang phòng ngừa.

Công ty đã thu được hơn 125 triệu đô la với sự hỗ trợ của Accel, Sequoia và GV. Mức độ hỗ trợ của nhà đầu tư này nói lên điều gì về sự cấp thiết của việc giải quyết danh tính trong kỷ nguyên AI – và bạn计划 sử dụng động lực này như thế nào để mở rộng tác động của Veza?

Điều đó cho thấy chúng tôi đang giải quyết một vấn đề thuộc thế hệ – và chúng tôi đang làm điều đó vào đúng thời điểm. Danh tính bây giờ là cửa trước, tường lửa và liên kết yếu nhất đồng thời. Và AI vừa mở rộng cửa đó.

Các nhà đầu tư của chúng tôi hiểu rằng Veza không chỉ là một công cụ IAM khác. Chúng tôi đang xây dựng mặt điều khiển cho truy cập trong kỷ nguyên AI. Chúng tôi đang sử dụng động lực này để tăng tốc mở rộng nền tảng, tăng cường tích hợp hệ sinh thái và mở rộng quy mô toàn cầu – đặc biệt là trong các lĩnh vực có quy định như dịch vụ tài chính, chăm sóc sức khỏe và chính phủ.

Bạn nắm giữ 18 bằng sáng chế trong lĩnh vực bảo mật dữ liệu, lưu trữ và quản lý. Có những lĩnh vực đổi mới nào trong Veza mà bạn tin sẽ đặt ra các tiêu chuẩn mới cho cách ngành công nghiệp tiếp cận quản lý danh tính trong thập kỷ tới?

Có – hai trong số đó.

Trước hết, Biểu đồ Truy cập của chúng tôi: đó là một mô hình phổ quát ánh xạ danh tính đến quyền đến hành động trên mọi hệ thống, trong thời gian thực. Đó là nền tảng cho quyền tối thiểu, quản lý AI và phát hiện mối đe dọa từ bên trong.

Thứ hai, khắc phục tự động. Chúng tôi đang đầu tư mạnh mẽ vào các môi trường truy cập tự chữa lành – nơi các vi phạm được phát hiện, ngữ cảnh hóa và sửa chữa mà không cần can thiệp của con người. Đó là cách bạn quản lý AI với AI.

Trong thập kỷ tới, quản lý danh tính sẽ chuyển từ phản ứng sang tự động. Veza sẽ là động cơ thúc đẩy sự thay đổi đó.

Cuối cùng, bạn đã nói “talent có không giới hạn.” Bạn có lời khuyên gì cho các nhà sáng lập kỹ thuật hoặc kỹ sư xây dựng các công ty cơ sở hạ tầng an ninh hoặc AI thế hệ tiếp theo ngày nay?

Xây dựng cho các trường hợp ngoại lệ, không phải cho đường dẫn hạnh phúc. Tương lai là hỗn độn – đa đám mây, đa tác nhân, đa cực. Kiến trúc của bạn phải giả định sự hỗn loạn.

Thứ hai, đừng sợ thách thức những con bò thiêng. Ngành công nghiệp an ninh đầy rẫy các giả định di sản – “truy cập vừa đúng lúc là đủ,” “con người là vấn đề,” “kiểm toán có nghĩa là Excel.” Phá vỡ những mô hình đó.

Cuối cùng, thuê những người bị ám ảnh bởi các nguyên tắc đầu tiên. Các công cụ thay đổi. Các mô hình thay đổi. Nhưng sự rõ ràng của tư duy và sứ mệnh thắng mọi lúc.

Và có – tài năng không có giới hạn. Xây dựng toàn cầu, xây dựng đa dạng và xây dựng để có tác động.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm nên truy cập Veza.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.