SkiStar kan snabbt hitta nålen i höstacken för att åtgärda säkerhetsangrepp

SkiStar AB (publ) är noterat på Nasdaq Stockholm, segment Mid Cap. Koncernen äger och driver alpina skidanläggningar i Sälen, Åre och Vemdalen samt Hammarbybacken (Stockholm) i Sverige, Hemsedal och Trysil i Norge samt St. Johann in Tirol i Österrike. Marknadsandelen är i Sverige 53 %, i Norge 29 % och totalt i Skandinavien 43 %.

Kärnverksamheten är alpin skidåkning med gästens skidupplevelse i centrum. Verksamheten delas in i två segment; Drift av skidanläggningar och Fastighetsutveckling & exploatering. SkiStars affärsidé är att som den ledande operatören av europeiska alpindestinationer skapa minnesvärda fjällupplevelser, vilket skapar värde för gäster, medarbetare och övriga intressenter, vilket i sin tur skapar värde för aktieägarna.

---

”Vi är ett litet företag och saknar kapacitet och resurser att sätta upp en egen SOC. Vårt resonemang har byggt väldigt mycket på att vi behöver verktyg som kan hjälpa oss i analys- och detektionsarbetet.”

PETER LARSSON, IT-CHEF, SKISTAR

Hitta nålen i höstacken

Att upptäcka relevanta säkerhetshot som kräver åtgärd, kan liknas med att hitta nålen i höstacken. Bakgrunden är ett svindlande utbud av hot, från ransomware och fillösa attacker till skadliga dataintrång och cyberspionage. 

SkiStar arbetar strategiskt med Cybersäkerhet genom en balans av effektiva preventiva skydd, med möjlighet att upptäcka “signaler ur bruset” om något inte står rätt till.

I likhet med många andra organisationer arbetar SkiStar i en effektiv och slimmad IT-organisation där tidskonsumerande manuella insatser behöver reduceras genom smart automation. Ett påtagligt exempel var problemet med att upptäcka de verkliga säkerhetshoten i oceanen av säkerhetsloggar, rapporter och larm. Här krävdes smart teknik som kunde bevisa sig effektiv i att påkalla uppmärksamhet bara när det krävs, utan att göra för stora anspråk på tid eller expertkunskap av IT-avdelningen. Att bara anta att IT-miljön var säkrad och släppa problemet tills en eventuell incident uppstår var inte heller ett alternativ. 

Automatiserad maskinanalys upptäcker relevanta säkerhetsproblem

SkiStar har under många år samarbetat med NetNordic gällande strategier runt Cybersäkerhet. SkiStar belyste sitt behov av att kunna upptäcka hot och angrepp, utan att lägga mera tid eller fler resurser på arbetet.

Kravställningen på lösningen bestod i att den skulle ha en förmåga att larma för IOC:er (Indicators of Compromise) genom en process som kan åtgärda hoten men även anpassa och vässa de preventiva skydden genom policyuppdateringar. Skydd och larm skulle helt enkelt hänga ihop och möjliggöra en helhetsförståelse av händelseförlopp och rotorsaker.

NetNordic hjälpte SkiStar att implementera lösningen Cortex från Palo Alto Networks. Lösningen är baserad på sofistikerad maskininlärning där data från endpoints (klienter och servrar) skapar en baseline (normalläge) för att kunna utlösa larm vid avvikelser och skadliga beteenden. Listan över vad den automatiserade analysmotorn söker efter är stor och ständigt växande, där den dessutom skapar unika profiler för varje endpoint och användare. Profilerna gör det möjligt för analysmotorn att sätta händelser och aktiviteter i sammanhang samt jämföra olika endpoints och användare mot varandra.

Lösningen ger en mycket hög träffsäkerhet där den inte larmar i onödan, samtidigt som den bidrar till att förstå händelsekedja och rotorsak. Genom att identifiera och sedan eliminera rotorsaken förhindras hotet eller angreppet att återkomma. 

Sinnesro och frigjord tid

SkiStar fortsätter sitt strategiska arbete inom Cybersäkerhet. Cortex-lösningen har i praktiken inneburit att IT-personalen slipper känna sig otillräckliga i arbetet att upptäcka olika typer av säkerhetsproblem. När lösningen påkallar uppmärksamhet av personalen, så klarar man oftast av att lösa problem självständigt utan att vara proffsanalytiker inom Cybersäkerhet. Behöver SkiStar stöd i mänskliga analyser eller responsåtgärder står NetNordic till förfogande.

Lösningens träffsäkerhet och relevans, med inbyggda analysverktyg kapar generellt tid i alla responsled. Kanske viktigast av allt, när lösningen är tyst, skapas nödvändig sinnesro att kunna fokusera på det preventiva skyddsarbetet.

Hur lång tid tar det att komma igång med att normalisera sin miljö?

”Jag hade också en viss farhåga kring det där att veta vad normalläge är och hur det hittas.  Det finurliga med AI och ML är att där är det som kraftfullast. Det går extremt fort att analysera 1500 endpoints och deras normalbeteenden. Sedan tittar man bara på avvikelser.”

PETER LARSSON, IT-CHEF, SKISTAR