Toby Lewis
La maggior parte delle organizzazioni scopre una violazione solo dopo che il danno è stato fatto. Il problema raramente risiede nella tecnologia: sta piuttosto nel modello operativo, ovvero nel modo in cui le minacce vengono individuate, classificate e segnalate prima che si trasformino in incidenti. Con l'introduzione dell'intelligenza artificiale sia nella catena di attacco che in quella di difesa, il divario tra gli strumenti di sicurezza acquistati e l'effettiva capacità di rilevamento sviluppata si sta ampliando, e i consigli di amministrazione non sono adeguatamente preparati per distinguere le due cose.
Toby Lewis, membro fondatore del National Cyber Security Centre del Regno Unito e responsabile globale dell’analisi delle minacce presso Darktrace, aiuta le organizzazioni a sviluppare le competenze operative necessarie per individuare, classificare e rispondere alle minacce informatiche prima che si trasformino in crisi.
Full Profile
Perché le organizzazioni collaborano con Toby Lewis
- Ha un punto di vista che non ha eguali nel mondo dei relatori: membro fondatore dell'NCSC, ex professionista dei servizi di intelligence e ora a capo di un'operazione di analisi delle minacce commerciali composta da 100 persone presso Darktrace. Il filo conduttore che va dall'intelligence a livello statale alla difesa aziendale basata sull'intelligenza artificiale è solo suo.
- La sua analisi dell'IA nella sicurezza informatica deriva dalla pratica operativa attiva, non dalla ricerca. È a capo del team di Darktrace che applica quotidianamente l'IA ad autoapprendimento agli ambienti dei clienti in tempo reale, il che significa che sa esattamente dove l'IA riduce il rischio e dove crea false rassicurazioni.
- La sua carriera presso l'NCSC ha attraversato l'attacco WannaCry: l'evento che ha trasformato il panorama del crimine informatico, passando dallo spionaggio degli Stati-nazione al predominio del ransomware. Quel resoconto di prima mano su quel punto di svolta offre ai consigli di amministrazione un punto di riferimento storico concreto per comprendere l'ambiente di minaccia in cui operano oggi.
- In qualità di membro della Task Force sulle minacce statali presso il Royal United Services Institute, si occupa della dimensione geopolitica delle minacce informatiche: quali attori statali sono attivi e cosa devono comprendere le organizzazioni commerciali che si trovano nel mezzo del fuoco incrociato.
- Ha tradotto la metodologia di gestione degli incidenti di sicurezza nazionale in quadri pratici che le operazioni di sicurezza aziendale possono effettivamente utilizzare, non come analogia, ma come applicazione diretta.
Punti salienti della biografia
- Responsabile globale dell'analisi delle minacce presso Darktrace, alla guida di oltre 100 analisti nei principali fusi orari mondiali
- Membro fondatore del National Cyber Security Centre (NCSC) del Regno Unito
- Vicedirettore tecnico per la gestione degli incidenti, NCSC – ruolo responsabile del coordinamento della risposta del governo britannico ai principali incidenti informatici
- Ex membro dei servizi di intelligence britannici: ha iniziato la carriera nell'ambito dello spionaggio statale e dell'analisi APT
- Membro della Task Force sulle minacce statali, Royal United Services Institute (RUSI)
- Commentatore esperto per BBC Radio 5 Live e BBC Newsnight; relatore principale a WIRED Smarter, CyberUK, SANS CyberThreat e al Cheltenham Science Festival
- Certificato CISSP; Laurea Magistrale in Ingegneria (MEng), Università di Bristol
- Collaboratore principale, prima edizione del concorso CyberFirst Girls
Biografia
Lo spionaggio da parte degli Stati nazionali ha caratterizzato il panorama delle minacce in cui Toby Lewis ha mosso i primi passi. Ha trascorso quegli anni all'interno dei servizi di intelligence britannici, occupandosi direttamente delle minacce a livello statale. Quando il Regno Unito ha istituito il National Cyber Security Centre, è stato tra i suoi membri fondatori e ha continuato a ricoprire il ruolo di vicedirettore tecnico per la gestione degli incidenti, incaricato di coordinare la risposta nazionale del Regno Unito agli incidenti di maggiore entità, compreso il periodo in cui WannaCry ha ridefinito l'intero panorama della criminalità informatica, passando dallo spionaggio al ransomware.
Quella carriera ha sviluppato una competenza specifica: la capacità di interpretare come una minaccia si muove all'interno di un'organizzazione una volta penetrata, non solo come vi è entrata. Da quando è entrato a far parte di Darktrace nel 2021 come Responsabile Globale dell'Analisi delle Minacce, Lewis guida un team di oltre 100 analisti che applicano l'IA e l'apprendimento automatico a quella stessa sfida; in ambienti aziendali, a livello globale, in tempo reale.
Il suo approccio all'IA nella sicurezza informatica è volutamente pratico. La metodologia di Darktrace si basa sull'apprendimento del comportamento normale della rete e sulla segnalazione delle deviazioni piuttosto che sulla catalogazione delle firme degli aggressori. Lewis ha applicato questo modello all'intero spettro delle minacce. Il suo ruolo parallelo di membro della State Threats Task Force presso il Royal United Services Institute aggiunge una dimensione geopolitica: quali attori sono attivi e quali potrebbero essere i loro prossimi obiettivi.
I consigli di amministrazione e i team di gestione del rischio lo coinvolgono perché è in grado di spiegare perché la maggior parte delle operazioni di sicurezza sono strutturalmente destinate a fallire nel momento in cui sono più necessarie. Ciò che richiede una vera prontezza operativa è l'oggetto del suo lavoro e l'argomento che espone su ogni piattaforma da cui interviene.
Argomenti principali delle conferenze
- Intelligence sulle minacce informatiche e analisi del panorama delle minacce
- IA e apprendimento automatico nella sicurezza informatica
- Gestione degli incidenti e operazioni di sicurezza
- Minacce da parte di Stati-nazione e rischio informatico geopolitico
- Ransomware ed evoluzione della criminalità informatica organizzata
- Progettazione e maturità delle operazioni di sicurezza
- Fattori umani nella difesa informatica
Ideale per
- CISO, CTO e comitati di rischio e revisione a livello di consiglio di amministrazione
- Responsabili delle operazioni di sicurezza e della risposta agli incidenti
- Forum sulla leadership tecnologica e di rischio nei servizi finanziari, nelle infrastrutture critiche e nelle organizzazioni del settore pubblico
- Team dirigenziali senior che valutano investimenti in sicurezza basati sull'intelligenza artificiale
Risultati per il pubblico
- Un quadro più chiaro di come le minacce sofisticate si sviluppano all'interno degli ambienti aziendali, non solo di come arrivano
- Comprensione pratica di dove la sicurezza basata sull'IA riduce realmente il rischio rispetto a dove crea false rassicurazioni
- Consapevolezza fondata di come operano gli attori delle minacce a livello di Stato-nazione e cosa ciò significhi per le organizzazioni commerciali nei settori adiacenti
- Un quadro di riferimento per valutare la prontezza nella risposta agli incidenti rispetto ai profili di minaccia attuali ed emergenti
- Approfondimento su come la metodologia di difesa informatica a livello nazionale si traduce nelle operazioni di sicurezza aziendale
Discorsi
Tenuto in occasione della conferenza WIRED Smarter, questo intervento ridefinisce il rischio informatico aziendale incentrandosi sul comportamento di rete dei difensori piuttosto che sulle tecniche degli aggressori, sostenendo che comprendere la propria normalità costituisca la base più efficace per il rilevamento delle minacce e la risposta ad esse.
Punti chiave:
- Perché i modelli di sicurezza basati sul perimetro hanno fallito strutturalmente e cosa richiede in pratica il passaggio al rilevamento comportamentale
- Come l’IA stabilisce una linea di base dell’attività di rete normale e come si presentano le vere anomalie all’interno di un ambiente live
- Cosa distingue le organizzazioni che contengono rapidamente le violazioni da quelle che scoprono il danno solo a posteriori