Apree Health entwickelt seinen Sicherheitsansatz weiter

Das aus der Fusion von Castlight Health und Vera Whole Health hervorgegangene Unternehmen Apree Health möchte die Art und Weise verändern, wie Patienten Zugang zu Gesundheitsversorgung erhalten bzw. wie sie damit interagieren, wie Anbieter diese Versorgung erbringen und wie Arbeitgeber sowie andere Kostenträger dafür bezahlen. Da das Unternehmen mithilfe von Technologie und einem einzigartigen klinischen Bereitstellungsmodell die Transformation von Zahlungs- und Versorgungsleistungen beschleunigt, muss es auch mit persönlichen Gesundheitsdaten (PHI) interagieren. Um einen schnellen und sicheren Austausch dieser Informationen zu gewährleisten, setzt Apree auf die Lösungen des vertrauenswürdigen Partners Akamai.

Apree bietet Unternehmen und ihren Mitarbeitern eine Plattform für die Navigation im Gesundheitswesen sowie eine mobile App, die Patienten dabei unterstützt, eine erschwingliche, hochwertige Gesundheitsversorgung zu finden, auf die Details und Anträge ihrer Krankenversicherung zuzugreifen, Leistungen zu verwalten und sogar ihre Gesundheitsmetriken nachzuverfolgen. Da die Plattform und App des Unternehmens mit mehr als 100 Integrationen von API-Partnern und über 1.000 Integrationen von Drittanbietern bereitgestellt werden, ist eine auf Top-Down-Sicherheit ausgerichtete Kultur, die auf Best Practices beruht, absolut essenziell.

David Quisenberry, Senior Manager of Information Security bei Apree, erklärt: „Der einzige Weg, bessere Gesundheitsleistungen erbringen zu können, ist anhand von Informationsaustausch. Aber diese Informationen sind streng vertraulich und müssen geschützt werden.“

Diese Sicherheit ist angesichts der heutigen Angriffstypen und -trends, einschließlich Social-Engineering- und API-Angriffen, die durch Bots in großem Maßstab ermöglicht werden, von entscheidender Bedeutung. Um die Sicherheit in einer solchen Umgebung ganzheitlich und effektiv anzugehen, sind fortlaufende Priorisierungen und Iterationen erforderlich, wobei stets starke Schutzmaßnahmen nachgewiesen werden müssen.

Leider hatte Apree nicht die richtigen Lösungen, um das Security-Operations-Team (SecOps) auf diese Weise zu stärken. Die einfache Web Application Firewall benachrichtigte das Team über potenzielle Probleme, die SecOps dann manuell untersuchen und die beste Reaktion ermitteln musste. Als das Unternehmen über seine App einen Ansturm von Credential-Stuffing-Angriffen erlebte, war das Team von dem Zeit- und Kostenaufwand überwältigt, der für die ordnungsgemäße Untersuchung, die Berichterstattung über potenzielle Auswirkungen und die Maßnahmenergreifung erforderlich war. 

Cat Schwan, Senior Information Security Analyst bei Apree, dazu: „Es war reinste Sisyphos-Arbeit. Die Verbesserung unserer Sicherheitslage hielt nie lange an.“

Aprees oberste Priorität bestand darin, API-Angriffe zu verhindern und die damit verbundenen Exploits zu blockieren. Dank der Konfiguration der Akamai-Schutzlösungen für Anwendungen und APIs an die Anforderungen des Unternehmens ließ sich genau das bewerkstelligen. Mit der Unterstützung von Akamai war das Sicherheitsteam in der Lage, den APIs, die für POST-Anfragen und Partnerintegrationen verwendet werden, eine Sicherheitsebene auf der HTTP-Headerebene hinzuzufügen. 

Gleichzeitig schützt Akamai das Unternehmen und seine App vor der Flut von Bots, die so viel Arbeit und Sorgen bereitet haben. Der letzte Credential-Stuffing-Angriff bei Apree ist 18 Monate her. Die Verbesserung der Sicherheitslage hat dazu geführt, dass die Betriebskosten für die Bewältigung derartiger Exploits erheblich gesunken sind. Ebenso wichtig ist, dass Apree die vertraulichen Daten, die Kunden, Arbeitgeber und Partner ihnen anvertrauen, sicher schützen kann. 

Quisenberry erklärt dazu: „Es ist entscheidend, dass wir den schnellen und sicheren Zugriff auf unsere App und die Pflegehandbücher ermöglichen. Unser Engineering-Team ist begeistert davon, dass wir das mit Akamai derart zuverlässig gewährleisten können.“

Obwohl die Vermeidung von API-Angriffen den Ausschlag für die Partnerschaft mit Akamai gab, hat Apree auch auf verschiedene andere Weisen profitieren können.

Das Vertrauen in die Sicherheit war – zusammen mit der Fähigkeit, nach Bedarf zu skalieren – entscheidend, als Apree (damals Castlight Health) mit dem Boston Children’s Hospital (BCH) und den Centers for Disease Control and Prevention (CDC) zusammenarbeitete, um einen kostenlosen COVID-19-Impfstoff-Finder zu starten. Das BCH beauftragte Castlight mit dem Aufbau der Technologieinfrastruktur, die die Lösung mit aktualisierten COVID-19-Impfstoffdaten unterstützt. Das Ergebnis war die erste Castlight-Veröffentlichung ohne Gating. Dank der globalen Akamai-Plattform konnte automatisch sichergestellt werden, dass der Impfstofffinder genaue und aktuelle Informationen anzeigt.

„Akamai hat unser Backend vor nicht autorisierten Web-Scrapern geschützt und es uns ermöglicht, das riesige Trafficvolumen im Zusammenhang mit diesem risikoreichen und prestigeträchtigen Projekt zu bewältigen. Außerdem konnte so sichergestellt werden, dass die App nicht kopiert wird“, sagt Schwan.

Die von Apree implementierten Anwendungsschutzfunktionen – darunter DDoS-Angriffsschutz, Verteidigung des Ursprungs und erweiterte Bot-Erkennung – arbeiten mit dem Intrusion Detection System zusammen, um Bedrohungen schnell zu erkennen und zu ermitteln. Mit den Akamai-Lösungen als Teil dieses Stacks kann das Unternehmen Angriffsvektoren schneller und einfacher verstehen.

Als Apree beispielsweise Injection-Angriffe erkannte, bot Akamai sofortigen Schutz und Einblick in die Bedrohungsumgebung. „Akamai lieferte uns die benötigten Erkenntnisse, um unsere Schwachstellen zu priorisieren und innerhalb von fünf Tagen 98 % unserer virtuellen Maschinen zu patchen“, so Quisenberry.

Darüber hinaus hat sich Akamai bei Aprees Migration zur Google Cloud als integraler Bestandteil erwiesen, um die Sicherheitsgrundlagen weiter zu stärken. Laut Schwan hat „Akamai die Migration während all den Veränderungen erheblich vereinfacht.“

Ein frühzeitiger Erfolg war, dass man während der Fusion mit Castlight eine zuverlässige Sicherheit der Webanwendungen von Vera Whole Health gewährleisten konnte. „Es war erstaunlich einfach, diese Anwendungen in unsere Umgebung zu integrieren“, fährt Schwan fort.

Tatsächlich ermöglichen sowohl die Google Cloud als auch Akamai die Automatisierung, die sich das SecOps-Team vorstellt, z. B. bei zuverlässigen API-Aufrufen. „Die Tatsache, dass Akamai eine automatisierte Änderungskontrolle ermöglicht, ist für uns unglaublich nützlich. So können unsere Teams Sicherheitskontrollen einrichten und Beweise dafür austauschen“, fährt Schwan fort.

Akamai gibt dem Team die Möglichkeit, sich auf weitere ausgereifte Sicherheitsmaßnahmen zu konzentrieren. Durch diese Unterstützung kann Apree zuversichtlich in die Zukunft blicken. „Akamai liefert die Technologie, Telemetrie und Erkenntnisse, die wir für eine agile und automatisierte Sicherheitsarchitektur benötigen“, fasst Quisenberry zusammen.

Apree Health hat es sich zum Ziel gesetzt, die erste Komplettlösung für das Gesundheitswesen zu entwickeln. Diese soll die Art und Weise neu definieren, wie Patienten Zugang zur Gesundheitsversorgung erhalten bzw. wie sie damit interagieren, wie Anbieter diese Versorgung erbringen und wie Arbeitgeber sowie andere Kostenträger dafür bezahlen. Apree Health erreicht dies durch die Kombination von branchenführender Navigation und datengesteuerten Einblicken, dem fortschrittlichsten Modell der Grundversorgung und wertbasierten Risikomodellen, um Gesundheitsleistungen zu erbringen und das Leben der von ihnen betreuten Menschen zu verbessern.

Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloud-Plattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern. Möchten Sie mehr über die Cloud-Computing-, Sicherheits-, und Inhaltsbereitstellungslösungen von Akamai erfahren? Dann besuchen Sie uns unter akamai.com/de und akamai.com/de/blogoder folgen Sie Akamai Technologies auf X(ehemals Twitter) und LinkedIn.