Sagen Sie hallo zu Aren, Gründer und CEO von Foxpass!
Aren ist ein ehemaliger, reiselustiger Weltenbummler, der zum Familienmenschen geworden ist, und verfügt über umfangreiche Erfahrung in technischen Führungspositionen wie Vice President of Operations bei Bebo, CTO bei Third Ave Labs und Director of Engineering bei Oodle.
Erleben Sie mit uns ein Gespräch mit Aren, in dem wir ihn nach seinen Erkenntnissen zu Sicherheit in Netzwerken, zum Aufbau eines Unternehmens und zu allem, was Sie über Foxpass wissen sollten, fragen:
Interview mit Aren
Sollen wir mit ein wenig Hintergrund zu Ihrer Person beginnen?
Ich bin Aren, der Gründer von Foxpass. Ich mache das jetzt seit etwa 4 Jahren.
Davor war ich Head of Technical Operations und IT bei Pinterest, und davor war ich bei Beebo, Oodle und Danger (sie haben das T-Mobile Sidekick entwickelt, falls Sie sich an dieses Telefon erinnern).
Und davor war ich in Stanford und habe dort meinen Master und Bachelor in Informatik gemacht.
Wie haben Sie also mit dem Programmieren angefangen?
Meine Mutter brachte einen Apple IIC aus ihrem Büro mit nach Hause, einen der frühen tragbaren Computer, und ich habe dann einfach versucht, ihn jedes Wochenende zu benutzen und so viel wie möglich darüber zu lernen.
Ich habe dann ein wenig Applesoft BASIC gelernt und konnte damit ziemlich einfache Programme schreiben.
Als wir unseren nächsten Computer bekamen, habe ich mir ein Buch über C besorgt, gelernt, wie das funktioniert, und dann einfach von dort aus weitergemacht.
Wow. Sie haben sich also selbst unterrichtet und sind auch zur Schule gegangen?
Ja. Das stimmt.
Den Großteil des Programmierens, das ich vor der Schule gelernt habe, habe ich mir selbst beigebracht. Dann habe ich in Stanford einen Abschluss in Informatik gemacht und dort alle CS-Kurse belegt.
Was ist bei den Anwendungen, die Sie entwickelt haben, Ihre am wenigsten geschätzte? Haben Sie schon einmal ein Nebenprojekt gemacht, bei dem Sie nicht mehr wissen, warum Sie es überhaupt gemacht haben?
Ich denke, meine Erinnerungen, zumindest an das Programmieren, bestehen alle aus Schulprojekten.
Die, die ich aus Spaß mache, sind alle großartig, selbst wenn sie nicht gelingen, weil ich dabei zumindest etwas gelernt oder experimentieren konnte.
Die für die Schule waren einfach hart, weil man unter Zeitdruck steht und das alles neuer Stoff ist. Sie sind sich nicht ganz sicher, was sie eigentlich tun sollen oder wie sie aussehen sollen, daher stammen einige meiner unerquicklichsten Momente beim Programmieren definitiv aus der Schulzeit, etwa späte Nächte im Computerraum, in denen ich den Kopf gegen die Tastatur gehauen habe.
Erzählen Sie mir von einem Ereignis bei einem der Unternehmen, für die Sie gearbeitet haben, bei dem Sie einfach ein komplettes Desaster erlebt haben. Hatten Sie jemals einen solchen Moment?
Mir fällt kein Fall ein, der 10 Stunden [dauerte], aber es gab sicherlich Momente des Schreckens, in denen sich etwas ziemlich Schlimmes anzubahnen schien.
Ich denke, ich hatte ziemlich viel Glück, dass die längeren Vorfälle nur zu zwei, drei oder vier Stunden Beeinträchtigung oder Ausfallzeit geführt haben.
Aber es gibt immer wieder Momente, in denen Sie denken, Sie hätten an alles gedacht, und dann taucht doch noch etwas anderes auf.
Murphys Gesetz, schätze ich. Ich hatte sie in jedem Unternehmen.
Wie sind Sie zur Server- und Netzwerksicherheit gekommen?
Das ist etwas, das ich mir seit praktisch jeder Rolle ab Oodle aneignen musste.
Entweder gab es niemanden in dieser Rolle, oder die betreffende Person hatte das Unternehmen verlassen, und das musste etwas genauer betrachtet werden.
Gerade bei Pinterest, wie es bei vielen neuen Unternehmen üblich ist, waren es zunächst nur Anwendungsentwickler, und Sicherheit war nicht so wichtig, bis man begann, viele neue Mitarbeitende einzuarbeiten.
Dann werden Zugriffskontrolle und Identität wirklich wichtig, denn Sie nehmen all diese neuen Personen auf.
Sie möchten ihnen sofort Zugriff auf die Server geben, damit sie so schnell wie möglich produktiv arbeiten können. Das ist großartig für die Motivation beim Onboarding. Gleichzeitig müssen Sie jedoch darauf achten, wer was tun darf.
Sie möchten sowohl beim Onboarding als auch beim Offboarding schnell reagieren können.
Was ist ein großer Sicherheitsfehler, den Sie bei Engineering-Teams häufig sehen?
Ich denke, der größte Sicherheitsfehler ist das Teilen von Zugangsdaten. Es ist wirklich ganz einfach.
„Hey, Sie haben ein paar neue Ingenieure im Team. So melden Sie sich bei den Servern an – entweder mit dem Benutzernamen und Passwort, die alle verwenden, oder indem Sie ihnen den privaten Schlüssel weitergeben, der beim Erstellen des Servers auf dem Server eingerichtet wurde.“
Das sind die größten und schlimmsten Fehler, die ich sehe.
Von dort aus hat vielleicht jeder seinen eigenen SSH-Schlüssel, aber alle verwenden denselben Benutzer. Das ist nicht schlecht, aber immer noch nicht die beste Vorgehensweise.
Nehmen wir an, alle würden all diese Dinge tun — beschreiben Sie die Ergebnisse. Was könnte schiefgehen?
Ich denke, das Worst-Case-Szenario ist: Sie schützen das Unternehmen einfach nicht.
Wenn jemand das Unternehmen verlässt oder entlassen wird und noch eine Rechnung offen hat, kann diese Person sich bei Ihren Servern anmelden, alles löschen und Ihnen große Probleme bereiten, wenn Sie nicht sofort alle gemeinsam genutzten Zugangsdaten ändern.
Das ist der schlimmste Fall, aber es ist die Aufgabe eines Unternehmens, sich selbst zu schützen.
Deshalb muss das Unternehmen nur über diese Situationen nachdenken und darüber, wie es sich schützen kann. Das ist natürlich der schlimmste Fall; er tritt nur selten ein, aber wenn doch, ist er katastrophal.
Wie würden Sie Foxpass der Welt erklären? Welche Funktion, die Sie mit Foxpass entwickelt haben, ist Ihr Favorit?
Im Grunde möchten wir jeder Person ihren eigenen Namen und ihr eigenes Passwort oder ihre eigenen Zugangsdaten für alles in Ihrer Infrastruktur geben. Keine gemeinsam genutzten WLAN-Passwörter mehr auf dem Whiteboard. Keine gemeinsamen Benutzernamen oder SSH-Schlüssel für Ihre Linux-Server mehr. Jeder hat seine eigenen Zugangsdaten.
Da nun jeder über eigene Zugangsdaten verfügt, können Sie zur Zugriffskontrolle übergehen:
„Diese Person kann nur auf diese Server zugreifen, was eine separate Liste ist, getrennt von Bob dort drüben. „ Er kann nur auf einen anderen Satz von Servern zugreifen, und auf diesen Servern ist er in seiner Funktionalität eingeschränkt.“
Es geht nicht um alles oder nichts für die gesamte Infrastruktur. Es ist nicht einmal alles oder nichts für einen bestimmten Server oder eine bestimmte Gruppe von Servern. Jede Person hat granularen Zugriff, der speziell für sie vorgesehen ist.
Außerdem können Sie darüber hinaus temporären Zugriff gewähren.
Sie erteilen jemandem auf einer festgelegten Anzahl von Rechnern eine Berechtigung – entweder mit einem Enddatum (z. B. Datum und Uhrzeit) oder einem Endereignis.
Zum Beispiel sage ich gern: Wenn Sie eine Rufbereitschaftswoche haben, dann haben Sie überall dort Pseudo-Berechtigungen, wo Sie sie brauchen. Aber wenn Ihre Rufbereitschaft vorbei ist, verlieren Sie diese Berechtigungen.
Sie können sie ziemlich einfach wieder erhalten, wenn Sie die Person fragen, die gerade Bereitschaft hat, aber Sie haben sie erst einmal nicht mehr, bis Sie entweder wieder Bereitschaft haben oder sie anfordern. Auf diese Weise muss sich das Unternehmen keine Sorgen machen, dass sich Ihre Schlüssel auf diesem Laptop befanden, falls Ihr Laptop gestohlen wird.
Sie verfügen über vollständige Berechtigungen für alles, und wir müssen einen deutlich größeren Servicebereich abdecken, um sicherzustellen, dass es keine Sicherheitsverletzungen gibt.
Sie haben Foxpass aus einem Problem heraus gegründet, das Sie bei Pinterest gesehen haben. Wenn Sie in der Zeit zurückgehen und etwas anders machen könnten, gibt es etwas, das Sie an Foxpass ändern würden? Oder vielleicht Fehler, die Sie früh als Gründer gemacht haben?
Sicher, jede Menge Fehler. Ich meine, mein Hintergrund liegt im Ingenieurwesen, nicht im Aufbau von Unternehmen. Wenn ich also zurückblicke, drehen sich all die Dinge, die ich im Nachhinein gern anders gemacht hätte, darum, das Geschäft schneller auszubauen.
Ich denke, wir haben großartige Arbeit geleistet, um all unseren ersten Kunden eine wirklich gute Erfahrung zu bieten, aber es gibt Dinge, die wir wahrscheinlich hätten tun können, um schon früher mehr Kunden wie diese zu finden.
Was ist das Lieblings-Zufallsding, das ein Kunde zu Ihnen gesagt hat?
Ich denke, die besten Reaktionen, die ich bekomme, sind so etwas wie: „Wow, ich suche schon ewig danach.“
Das sind die Momente, in denen ich weiß, dass ich die Menschen gefunden habe, an die ich verkaufen möchte, und dass das Produkt, das wir entwickelt haben, genau das ist, wonach sie suchen – so wie es genau das war, wonach ich in früheren Jobs gesucht hatte.
Was machen Sie gern in Ihrer Freizeit?
Früher habe ich gerne Reisen unternommen. Mit zwei Kindern und einem Startup ist das jetzt schwer.
Heute finden Sie mich mit besagten Kindern im Park oder, wenn sie ihren Mittagsschlaf machen, bei der Arbeit an meinem Haus – das ist eine meiner Leidenschaften.
Welcher Ort, den Sie bereist haben, war der coolste?
Mein Lieblingsreiseziel war ...
Nun, 2009 machte ich eine Reise um die Welt. Es waren nur drei Monate, aber ich konnte Teile der Welt sehen, die für mich einfach unglaublich waren.
Der größte Teil Asiens war großartig. Südostasien, Indien – einfach wunderschöne, wunderschöne Länder und wundervolle Menschen. Das war wahrscheinlich mein Lieblingsteil dieser Reise.
Es ist so schwer, an diese Orte zu gelangen, dass ich froh bin, viel zusätzliche Zeit gehabt zu haben, um sie zu sehen.
Es gibt unzählige Menschen, die Unternehmen gründen und wirklich großartige Produkte entwickeln. Manche entwickeln sie möglicherweise nicht von Anfang an unter Sicherheitsaspekten. Welchen Rat würden Sie den Gründern dieser Start-ups geben?
„Beginnen Sie früher mit der Sicherheit, als Sie vielleicht denken, dass Sie sie brauchen.“
Zunächst ist es wichtig sicherzustellen, dass Sie ein Produkt haben, das die Menschen kaufen möchten.
Wenn Sie keine Kunden haben, haben Sie nichts zu sichern. Aber sobald Sie erste Erfolge sehen, sollten Sie anfangen, über Ihre Sicherheitslage nachzudenken.
Ich denke, Kunden sind heute immer versierter und werden diese Fragen früher stellen als früher.
„Wie lautet Ihre Zugangskontrollstrategie? „ Haben Sie Prinzipien der geringsten Rechte?“
Denken Sie schon früher über diese Dinge nach, damit Sie nicht in Hektik geraten, wenn diese Fragen aufkommen.
Verbessern Sie Ihre Sicherheit
Sind Sie bereit, Ihr Netzwerk zu schützen und Ihr Unternehmen sicher zu halten? Klicken Sie hier, um zu erfahren, wie Foxpass Ihnen helfen kann, kostspielige Sicherheitsfehler zu vermeiden!
