Maak kennis met Aren, oprichter en CEO van Foxpass!
Aren is een voormalige reislustige, van land naar land trekkende jetsetter die nu een familieman is, met een uitgebreide achtergrond in technische topfuncties zoals Vice President of Operations bij Bebo, CTO bij Third Ave Labs en Director of Engineering bij Oodle.
Ga met ons in gesprek met Aren terwijl we hem het hemd van het lijf vragen over al zijn inzichten in netwerk beveiliging, het opbouwen van een bedrijf en alles wat je moet weten over Foxpass:
Interview met Aren
Zullen we beginnen met wat achtergrondinformatie over jezelf?
Ik ben Aren, de oprichter van Foxpass. Ik doe dit nu al ongeveer 4 jaar.
Daarvoor was ik Head of Technical Operations and IT bij Pinterest, en daarvoor werkte ik bij Beebo, Oodle en Danger (zij maakten de T-Mobile Sidekick, als je die telefoon nog kent).
En daarvoor studeerde ik aan Stanford voor een master en bachelor in computerwetenschappen.
Hoe ben je eigenlijk begonnen met programmeren?
Mijn moeder nam een van de Apple IICs van haar kantoor mee naar huis, een van de eerste draagbare computers, en ik merkte dat ik er elk weekend mee probeerde te werken en er zoveel mogelijk over leerde.
Ik leerde uiteindelijk een beetje Applesoft BASIC, en van daaruit kon ik vrij eenvoudige programma's maken.
Toen we onze volgende computer kregen, pakte ik een boek over C erbij, leerde hoe dat werkte en ging van daaruit gewoon verder.
Wauw. Dus je hebt jezelf lesgegeven en bent ook naar school gegaan?
Ja. Dat klopt.
Het grootste deel van het programmeren dat ik vóór mijn schooltijd had geleerd, heb ik mezelf aangeleerd. Daarna heb ik aan Stanford een diploma in computerwetenschappen behaald en daar alle CS-vakken gevolgd.
Als het gaat om applicaties die je hebt gebouwd, welke is dan je minst favoriete? Heb je ooit een zijproject gemaakt waarvan je niet meer weet waarom je het deed?
Ik denk dat mijn herinneringen, in elk geval aan programmeren, allemaal schoolprojecten zijn.
De dingen die ik voor de lol maak, zijn allemaal geweldig, ook als ze niet lukken, omdat ik in elk geval iets heb geleerd of heb kunnen experimenteren.
Die voor school waren gewoon lastig, omdat je onder tijdsdruk staat en het allemaal nieuwe stof is. Je weet niet precies wat ze precies moeten doen of hoe ze eruit moeten zien, dus sommige van mijn minst favoriete programmeermomenten komen zeker van school, zoals late nachten in het computerlab waarin ik met mijn hoofd tegen het toetsenbord zat te bonken.
Vertel me over een gebeurtenis bij een van de bedrijven waar je hebt gewerkt waarbij je echt een complete ramp zag. Heb je ooit zo'n moment gehad?
Ik kan er niet één bedenken die 10 uur [duurde], maar er zijn zeker momenten van angst geweest waarop er iets behoorlijk ergs op het punt stond te gebeuren.
Ik denk dat ik best geluk heb gehad, in die zin dat de langdurige incidenten uiteindelijk slechts twee, drie of vier uur aan verstoring of uitval hebben veroorzaakt.
Maar er zijn altijd momenten waarop je denkt dat je overal aan hebt gedacht, en er toch nog iets anders opduikt.
De wet van Murphy, denk ik. Ik heb ze bij elk bedrijf gehad.
Hoe ben je in server- en netwerkbeveiliging terechtgekomen?
Het is iets dat ik eigenlijk in elke functie vanaf Oodle heb moeten oppakken.
Of er zat niemand in die functie, of die persoon had het bedrijf verlaten, en daar moest even aandacht aan worden besteed.
Vooral bij Pinterest, wat voor veel nieuwe bedrijven gebruikelijk is, draaide het echt volledig om applicatieontwikkelaars, en was beveiliging minder belangrijk totdat je veel nieuwe mensen moest onboarden.
Dan worden toegangsbeheer en identiteit echt belangrijk, omdat je al deze nieuwe mensen onboardt.
Je wilt ze meteen toegang geven tot de servers, zodat ze zo snel mogelijk productief kunnen zijn. Het is geweldig voor de moraal tijdens het onboarden. Maar tegelijkertijd moet je wel oppassen met wie wat kan doen.
Je wilt snel kunnen reageren, zowel bij onboarding als bij offboarding.
Wat is een grote beveiligingsfout die je vaak ziet bij engineeringteams?
Ik denk dat de grootste beveiligingsfout het delen van inloggegevens is. Het is heel eenvoudig.
“Hé, jullie hebben een paar nieuwe engineers in het team. Zo log je in op de servers, of dat nu met de gebruikersnaam en het wachtwoord is die iedereen gebruikt, of door de private key met hen te delen die op de server is ingesteld toen die werd aangemaakt.”
Dat zijn de grootste en ergste fouten die ik zie.
Vanaf daar heeft misschien iedereen zijn eigen aparte SSH key, maar delen ze allemaal dezelfde gebruiker. Dat is niet heel erg, maar het is nog steeds niet de beste werkwijze.
Stel dat iedereen al die dingen deed — beschrijf dan de uitkomsten. Wat zou er mis kunnen gaan?
Ik denk dat het worstcasescenario is: je beschermt het bedrijf gewoon niet.
Als iemand uit dienst gaat of wordt ontslagen en die persoon nog een appeltje te schillen heeft, en je niet meteen al die gedeelde inloggegevens wijzigt, dan logt die persoon in op je servers, verwijdert alles en bezorgt die je een hoop problemen.
Dat is het ergste geval, maar het is de taak van een bedrijf om zichzelf te beschermen.
Daarom hoeft het bedrijf alleen maar na te denken over deze situaties en hoe het zichzelf kan beschermen. Dat is natuurlijk het worstcasescenario; het komt zelden voor, maar als het gebeurt, zijn de gevolgen catastrofaal.
Hoe zou je Foxpass aan de wereld uitleggen? Wat is je favoriete functionaliteit die je met Foxpass hebt gebouwd?
In principe willen we iedereen een eigen naam en wachtwoord geven, of eigen inloggegevens, voor alles in je infrastructuur. Geen gedeelde wifiwachtwoorden meer op het whiteboard. Geen gedeelde gebruikersnamen of SSH-sleutels meer voor je Linux-servers. Iedereen heeft zijn eigen inloggegevens.
Nu iedereen zijn eigen inloggegevens heeft, kun je overstappen op toegangsbeheer:
“Deze persoon heeft alleen toegang tot deze servers, wat een aparte lijst is van die van Bob daar. Hij heeft alleen toegang tot een andere set servers, en op die servers is hij beperkt in zijn functionaliteit.”
Het hoeft niet alles of niets te zijn voor de hele infrastructuur. Het is niet eens alles of niets voor een bepaalde server of set servers. Iedereen heeft gedetailleerde toegang die specifiek voor hen is.
En daarbovenop kun je tijdelijke toegang verlenen.
Je geeft iemand toestemming op een set machines met ofwel een einddatum (zoals een datum en tijd) of een eindgebeurtenis.
Bijvoorbeeld, het voorbeeld dat ik graag geef is: wanneer je een week dienst hebt, heb je overal waar je ze nodig hebt pseudo-rechten. Maar zodra je bereikbaarheidsdienst voorbij is, verlies je die machtigingen.
Je kunt ze vrij makkelijk opnieuw krijgen als je het vraagt aan degene die bereikbaarheidsdienst heeft, maar je hebt ze gewoon niet meer totdat je zelf weer bereikbaarheidsdienst hebt of ze aanvraagt. Zo hoeft het bedrijf zich, als je laptop wordt gestolen, geen zorgen te maken dat je sleutels op die laptop stonden.
Ze hebben volledige rechten voor alles, en er is een veel groter servicegebied dat we moeten afdekken om ervoor te zorgen dat er geen inbreuken zijn.
Je bent met Foxpass begonnen vanwege een probleem dat je bij Pinterest zag. Als je terug in de tijd kon gaan en iets anders kon doen, is er dan iets dat je aan Foxpass zou veranderen? Of misschien fouten die je in het begin als oprichter hebt gemaakt?
Natuurlijk, een hoop fouten. Ik bedoel, mijn achtergrond ligt in de techniek, niet in het opbouwen van bedrijven. Dus als ik terugkijk, gaan alle dingen die ik anders had willen doen over het sneller laten groeien van het bedrijf.
Ik denk dat we er heel goed in zijn geslaagd om al onze eerste klanten een echt goede ervaring te bieden, maar er waren waarschijnlijk dingen die we hadden kunnen doen om eerder meer klanten zoals zij te vinden.
Wat is het gekste willekeurige dat een klant ooit tegen je heeft gezegd?
Ik denk dat de mooiste reacties die ik krijg zoiets zijn als: “Wauw, hier ben ik al eeuwig naar op zoek.”
Dat zijn de momenten waarop ik weet dat ik de mensen heb gevonden aan wie ik probeer te verkopen, en dat het product dat we hebben gebouwd precies is wat zij zoeken, net zoals het precies was waar ik in eerdere banen naar op zoek was.
Wat doe je graag voor de lol?
Vroeger reisde ik graag. Dat is nu lastig met twee kinderen en een startup.
Nu vind je me in het park met die kinderen, of als ze een dutje doen, ben ik bezig met mijn huis, wat een grote passie van me is.
Wat is de coolste plek waar je ooit naartoe bent gereisd?
Favoriete plek waar ik naartoe ben gereisd...
Nou, in 2009 maakte ik een reis rond de wereld. Het waren maar drie maanden, maar ik kreeg delen van de wereld te zien die voor mij echt ongelooflijk waren.
Het grootste deel van Azië was geweldig. Zuidoost-Azië, India — gewoon prachtige, prachtige landen en prachtige mensen. Dat was waarschijnlijk mijn favoriete deel van die reis.
Het is zo moeilijk om op die plekken te komen dat ik blij ben dat ik extra tijd heb gekregen om ze te zien.
Er zijn heel veel mensen die bedrijven starten en echt geweldige producten bouwen. Sommigen bouwen ze misschien niet vanaf het begin met beveiliging in gedachten. Als je de oprichters van die startups advies zou geven, wat zou dat volgens jou zijn?
“Begin eerder met beveiliging dan je denkt nodig te hebben.”
Allereerst is het belangrijk om zeker te weten dat je een product hebt dat mensen willen kopen.
Als je geen klanten hebt, heb je niets om te beveiligen. Maar zodra je tractie begint te krijgen, ga dan nadenken over je beveiligingshouding.
Ik denk dat klanten tegenwoordig steeds slimmer zijn en deze vragen eerder zullen stellen dan vroeger.
“Wat is je toegangsbeheerstrategie? Heb je principes van minimale rechten?”
Denk hier eerder over na, zodat je niet hoeft te haasten wanneer ze deze vragen beginnen te stellen.
Verbeter je beveiliging
Ben je klaar om je netwerk te beveiligen en je bedrijf veilig te houden? Klik hier om te ontdekken hoe Foxpass je kan helpen dure beveiligingsfouten te voorkomen!
