Tomer Weingarten: “Het doel is niet om het grootste securitybedrijf ter wereld te worden. Ik wil wel graag bewijzen dat het mogelijk is om een bedrijf anders op te bouwen.”
De oprichter en CEO van SentinelOne, Tomer Weingarten, wil zich niet alleen richten op groeien en winst maken, maar wil een bedrijf neerzetten dat trouw is aan de missie die hij ervoor heeft opgesteld. “Die is heel simpel”, stelt hij: “We willen iedereen beveiligen en beschermen.” Dan komen zaken zoals marktwaarde, omzet en winst niet altijd op de eerste plaats te staan: “Ik wil graag een ander soort bedrijf neerzetten, met doelstellingen die voorbijgaan aan alleen omzet en winst.”
De industrie houdt een vreemd systeem in stand
Bovenstaande insteek horen we niet iedere dag, ook al is er tegenwoordig steeds meer te doen rondom wat je verantwoord ondernemen zou kunnen noemen. Veel andere bedrijven, ook binnen cybersecurity, hebben op het eerste gezicht in ieder geval een andere insteek. Met name bedrijven die nog niet naar de beurs zijn gegaan, lijkt het te doen te zijn om zo snel mogelijk een bepaalde marktwaarde te bereiken om dan binnen te kunnen lopen tijdens de IPO. Die wordt dan ook nog eens uitgesteld tot het moment dat men denkt dat de maximale waarde bereikt is.
De focus op marktwaarde komt niet alleen uit de (security-)bedrijven zelf. Het is ook om iedere investeringsronde voldoende op te kunnen halen bij (durf-)investeerders. Nadat een bedrijf naar de beurs is gegaan, zijn er de aandeelhouders en analisten om tevreden te houden. Op deze manier wordt een bedrijf min of meer geleefd door de markt. Er kunnen dan bijvoorbeeld overnames gedaan worden die eigenlijk helemaal niet zo’n goed idee zijn om toch maar groter en meer waard te worden.
SentinelOne is anders
Weingarten wil eigenlijk niets weten van de dynamiek die we hierboven beschrijven. Natuurlijk heeft hij een zekere mate van verplichting richting aandeelhouders, zijn eigen mensen en de markt, maar verder is hij er eigenlijk niet zo mee bezig. Dat merkt SentinelOne dan ook vrijwel iedere keer bij de publicatie van de kwartaalcijfers. Die zorgen zelden voor veel enthousiasme.
Het gebrek aan enthousiasme over de cijfers is niet gebaseerd op de kwaliteit van de producten en diensten die SentinelOne levert. Dat zou ons in ieder geval verbazen. Het Singularity Platform en de diensten die SentinelOne eromheen heeft gebouwd worden eigenlijk zonder uitzondering hoog tot zeer hoog gewaardeerd, door analistenfirma’s, bij de MITRE ATT&CK Evaluation, maar ook zeker door eindgebruikers. Na de overname van PingSafe krijgt de CNAPP-oplossing van SentinelOne bijvoorbeeld de hoogste score op G2, door eindgebruikers.
FedRAMP High
Daarnaast is het SentinelOne Singularity Platform op dit moment ook het enige XDR/EDR/EPP-platform dat de hoogst mogelijke FedRAMP-certificering heeft (High, of High Authorization). Dat houdt in dat het Singularity Platform breed gebruikt mag worden binnen de Amerikaanse overheid. Oplossingen die deze status hebben, mogen zelfs in (zeer) gevoelige omgevingen (zeer) gevoelige data afhandelen. FedRAMP High is op dit moment nog best bijzonder voor een security-oplossing. Als we hierop filteren in de FedRAMP Marketplace komen we uit op niet meer dan 18 oplossingen van 15 leveranciers.
Geen enkele concurrent van SentinelOne lijkt op dit moment actief bezig te zijn met een FedRAMP High-procedure. Crowdstrike Falcon staat in de FedRAMP Marketplace wel op ‘Ready’, wat inhoudt dat het proces zou kunnen starten. Het moet daarna nog door ‘In process’ om tot ‘Authorized’ te komen. Dat bedrijf zal op dit moment ongetwijfeld andere prioriteiten hebben, na wat er is gebeurd op 19 juli van dit jaar. Aangezien de procedure makkelijk twee jaar kan duren, waren ze sowieso later dan SentinelOne.
Als we aan Weingarten vragen of hij het niet vervelend vindt dat SentinelOne iedere keer zo weinig waardering krijgt van financieel analisten en investeerders, ondanks de uitstekende cijfers, prestaties en certificeringen, geeft hij aan dat het hem niet zoveel interesseert als je wellicht zou verwachten. “Ik gebruik het als brandstof”, geeft hij aan. “We zijn ook een van de snelst groeiende bedrijven, dus het is een kwestie van tijd voor niemand meer om ons heen kan”, voorspelt hij.
SentinelOne kan de grootste worden
Bovenstaande reactie op hoe een specifiek gedeelte van de markt naar SentinelOne kijkt, is tekenend voor de persoon Weingarten. Hij heeft een visie in zijn hoofd over hoe hij denkt dat een securitybedrijf eruit moet zien. Die visie volgt hij ongeacht wat anderen ervan vinden. Hij geeft ook zeer weinig interviews om deze visie verder toe te lichten. De resultaten moeten uiteindelijk duidelijk maken of het de juiste visie is en was.
SentinelOne is dus geen alledaags securitybedrijf als het aan Weingarten ligt, zoveel is duidelijk. Dat betekent niet dat hij niet graag de grootste securityspeler in de wereld zou willen maken van het bedrijf. Dat zegt hij ook tijdens zijn keynote op OneCon 2024: “SentinelOne is goed gepositioneerd om het volgende cybersecurity megabedrijf te worden. De impact die wij hebben is groter dan van wie ook en we zijn de duidelijke leider in veel onderdelen.”
Als we hem na de keynote echter vragen naar deze uitspraak, nuanceert hij deze toch enigszins. Het feit dat SentinelOne wat hem betreft goed gepositioneerd is, betekent nog niet dat het ook per se moet en zal gebeuren. “Het doel is niet om de grootste securityleverancier te bouwen. Waar ik wel om geef is dat ik aan kan tonen dat het mogelijk is om een bedrijf anders op te bouwen”, geeft hij aan. Daarmee doelt hij weer op de algehele benadering die we hierboven hebben beschreven en de pledge die bij SentinelOne hoort.
Wat moet er nu gebeuren in de industrie en de markt?
Een visie hebben is een, deze omzetten naar daadwerkelijke producten, diensten en daarmee omzet is een tweede. Dat gaat SentinelOne ook prima af, hebben we al geconstateerd. Weingarten ziet echter ook nog wel de nodige uitdagingen, die spelers zoals SentinelOne moeten oplossen. De voornaamste hiervan is dat vrijwel alle infrastructuur die organisaties gebruiken enorm gedateerd is en eigenlijk vernieuwd moet worden. “Er is echter geen ‘laten we even stoppen en de boel opnieuw opbouwen’-moment in de industrie en dat komt er ook niet”, schetst hij het probleem. Met andere woorden, proberen om organisaties volledige nieuwe stacks te laten kopen en bouwen is niet de juiste manier.
Wat moet er dan wel gebeuren? “Allereerst moet er een laag komen die over alle bestaande infrastructuur heen ligt”, volgens Weingarten. Dat is de enige manier waarop je kunt toetsen of datgene wat er op een netwerk aangesloten wordt, ook daadwerkelijk veilig is. “Als het er niet op aangesloten is, moet het eerst geverifieerd worden.” Dat is wat SentinelOne nu met AI SIEM wil bewerkstelligen. AI SIEM is feitelijk het samenpakken van Purple AI en het Singularity Data Lake waar SentinelOne aan heeft gebouwd de laatste jaren.
AI SIEM lijkt op het eerste gezicht dus vooral een naampje dat op de koppeling tussen twee verschillende onderdelen van het SentinelOne-platform is geplakt. Daarmee doe je het echter wel wat tekort. “Om SIEM effectief te maken en te houden moet het tegenwoordig realtime zijn”, geeft Weingarten aan. Als er iets nieuws in de omgeving van een organisatie verschijnt, moet het meteen worden gewogen en geëvalueerd. Dat moet in realtime, anders ben je al te laat. Dat maakt AI SIEM wezenlijk anders dan wat er op dit moment al te koop is op dit vlak, is het idee.
Focus hebben en houden
De gang richting securityplatformen en lagen bovenop bestaande infrastructuur klinkt logisch, maar daar moeten securityleveranciers wel goed en verstandig mee omgaan. Er zijn wat spelers in de markt die menen alles zelf in het eigen platform aan te moeten bieden. Dat is op zich een valide standpunt, maar het is de vraag hoe houdbaar het is. Vaak realiseren die spelers dit door middel van overnames en fusies. We hebben meerdere van dergelijke ontwikkelingen gezien in de SIEM-wereld het laatste jaar.
Volgens Weingarten, die uiteraard ook voor eigen parochie preekt hier, is dat niet de juiste benadering. “Je hebt een zeer open platform nodig”, is hij van mening. Uiteindelijk gaat het toch vooral om de data. “We hoeven geen firewall te bouwen om de data van firewalls te kunnen gebruiken”, geeft hij als voorbeeld. Hij realiseert zich ook wel dat het platform van SentinelOne het moet doen met de data die het krijgt. Als er partijen zijn die derde partijen niet de volledige dataset willen geven, omdat ze een meer locked-in benadering nastreven, dan moet SentinelOne het doen met datgene wat ze wel krijgen. Dat is wel een gevaar van deze benadering.
Aan de andere kant ziet Weingarten zich gesterkt in zijn opvatting door alle kwetsbaarheden die bij de concurrentie van SentinelOne vrijwel wekelijks aan het licht komen. “Die zijn er omdat die concurrenten de focus kwijt zijn geraakt”, oordeelt hij. Voor hem en SentinelOne is het belangrijk dat alle onderdelen die het zelf aanbiedt best-of-breed zijn. De rest gaat via integraties. Bij andere spelers in de markt zie je dat er allerlei (oude) inventaris van andere bedrijven opgekocht wordt. Deze was en is lang niet altijd best-of-breed. Die wordt dan houtje-touwtje in het eigen platform geïntegreerd, met alle legacy en kwetsbaarheden die daarbij horen.
Tot slot krijgt Microsoft ook nog een veeg uit de pan van Weingarten. Dat is natuurlijk het ultieme voorbeeld van een enorm platform. Het is echter ook een heel groot doelwit voor aanvallers. Op basis van wat er alleen al in het afgelopen jaar is gebeurd, kunnen we wel stellen dat de security van dat platform verre van op orde is. Toch blijven organisaties maar vasthouden aan dat platform, omdat het zo diep verweven zit in alles wat ze doen. “De macht die Microsoft heeft is zeer schadelijk” (Weingarten gebruikt het woord corruptive), volgens hem. Daar moeten we eigenlijk zo snel mogelijk vanaf.
Grote uitdaging voor SentinelOne
Het zal niet eenvoudig zijn voor SentinelOne om de grote platformen te verslaan. Weingarten is echter vastbesloten om het op deze manier te blijven doen. Niet alleen vanwege de kwaliteit van het platform dat SentinelOne aanbiedt, maar ook zeker vanwege hoe dit platform inspeelt op de realiteit van alledag. Hij heeft dermate veel vertrouwen in wat hij en zijn mensen hebben gebouwd, dat hij geen enkele twijfel heeft dat het gaat lukken. “Uiteindelijk moeten onze klanten ons uitproberen en beoordelen”, volgens hem. Hij heeft er alle vertrouwen in dat die beoordeling positief uit zal vallen, dat is zonder meer duidelijk. De gestage druppel holt zelfs de hardste steen.
Lees ook: SentinelOne brengt het autonome SOC een stap dichterbij