Apree Health potenzia la sua strategia di sicurezza

Apree Health , l'azienda formata dalla fusione di Castlight Health e Vera Whole Health, si propone di trasformare il modo con cui i pazienti accedono e interagiscono con le cure mediche, con cui le strutture sanitarie forniscono le cure mediche e con cui i dipendenti e altri pazienti pagano per le cure ricevute. Mentre accelera la trasformazione dei pagamenti e della fornitura dell'assistenza sanitaria con la tecnologia e un esclusivo modello per la fornitura delle cure mediche, l'azienda interagisce con le informazioni sanitarie protette (PHI) dei pazienti. Per garantire una condivisione rapida e sicura di queste informazioni, Apree si è affidata alle soluzioni di un partner di fiducia come Akamai.

Apree consente alle aziende e ai loro dipendenti di fornire un'app mobile e una piattaforma di navigazione per l'assistenza sanitaria che aiuta i pazienti a trovare cure mediche eccellenti e convenienti, ad accedere alle loro richieste e ai dettagli del loro piano sanitario, ad accedere ai vantaggi disponibili e, persino, a monitorare il loro stato di salute. Poiché l'app e la piattaforma dell'azienda si basano su più di 100 integrazioni di partner delle API e oltre 1.000 integrazioni di clienti di terze parti, una cultura incentrata sulla sicurezza a 360° che affonda le sue radici nelle best practice è fondamentale.

Come spiega David Quisenberry, Senior Manager del reparto Information Security di Apree: "L'unico modo per migliorare i risultati sanitari è favorire la condivisione delle informazioni, che, tuttavia, sono altamente sensibili e devono essere protette".

Tale sicurezza è fondamentale alla luce delle tendenze e dei tipi di attacchi di oggi, inclusi gli attacchi di social engineering e alle API sferrati dai bot su larga scala. Per affrontare la sicurezza in modo olistico ed efficace in un tale ambiente, servono costanti attività di prioritizzazione e iterazione insieme a solide misure protettive.

Sfortunatamente, Apree non disponeva delle soluzioni giuste da fornire al suo team SecOps (Security Operations). La sua soluzione WAF (Web Application Firewall) di base ha informato il team dei potenziali problemi, richiedendo al team SecOps di indagare manualmente e determinare la risposta migliore. Quando l'azienda ha subito una bufera di attacchi di credential stuffing tramite la sua app mobile, il team è stato sovraccaricato dal lavoro in termini di tempi e costi richiesti per indagare, creare rapporti sui potenziali impatti e prendere le azioni necessarie. 

Secondo Cat Schwan, Senior Information Security Analyst per Apree: "È stato un po' come giocare ad una partita di "Acchiappa la talpa". Non riuscivamo a migliorare il nostro sistema di sicurezza di un momento".

La prima priorità di Apree è stata prevenire gli attacchi alle API e bloccare gli exploit associati, che ha potuto realizzare grazie alle soluzioni per la protezione di applicazioni e API di Akamai configurate in base alle esigenze dell'azienda. Con Akamai, il team addetto alla sicurezza aggiunge un ulteriore livello di protezione al livello dell'intestazione HTTP sulle API utilizzate per le richieste POST e le integrazioni dei partner. 

Contemporaneamente, Akamai protegge l'azienda e la sua app mobile dall'inondazione di bot che ha causato tanto lavoro e molte preoccupazioni. Dopo aver subito attacchi di credential stuffing per 18 mesi, Apree ha notevolmente ridotto i costi fissi necessari per risolvere questi exploit. Altrettanto importante è il fatto che Apree può proteggere con la massima fiducia i dati sensibili che consumatori, dipendenti e partner affidano all'azienda. 

Inoltre, Quisenberry spiega: "È fondamentale per noi disporre di un accesso rapido e sicuro alle nostre app e alle guide per l'assistenza sanitaria. Il nostro team di tecnici è entusiasta della possibilità di garantire tutto ciò in modo affidabile con Akamai".

Benché la possibilità di prevenire gli attacchi alle API ha dato impulso alla partnership con Akamai, Apree ne ha tratto vantaggio anche in molti altri modi.

La certezza di essere protetti, insieme alla capacità di scalare in base alle specifiche esigenze, è stata una motivazione importante alla base della collaborazione tra Apree (allora, Castlight Health), il Boston Children’s Hospital (BCH) e i centri per il controllo e le prevenzione delle malattie (CDC) con lo scopo di lanciare uno strumento gratuito per la ricerca di un vaccino per il COVID-19. Il BCH si è affidato a Castlight per realizzare l'infrastruttura tecnologica che ha potenziato la soluzione con dati aggiornati sul vaccino per il COVID-19, con la conseguenza di farla conoscere ad una percentuale maggiore di utenti. La piattaforma globale di Akamai ha reso possibile garantire automaticamente la presenza di informazioni accurate e aggiornate nello strumento per la ricerca del vaccino.

"Akamai ha protetto il nostro back-end da web scraper non autorizzati e ci ha consentito di gestire l'enorme volume di traffico associato a questo progetto ad alto rischio e ad alta visibilità. Inoltre, ci ha garantito la protezione da eventuali violazioni illecite dell'app", afferma Schwan.

Le funzioni di protezione dell'applicazione implementate da Apree, tra cui la protezione dagli attacchi DDoS, la difesa dell'origine e il rilevamento avanzato dei bot, lavorano in sinergia con il suo sistema di rilevamento delle intrusioni per garantire un rapido rilevamento e un'intelligence sulle minacce. Con le soluzioni di Akamai come parte delle sue tecnologie, l'azienda può comprendere i vettori di attacco in modo più rapido e semplice.

Ad esempio, quando Apree ha identificato degli attacchi di tipo injection, Akamai ha fornito immediatamente la protezione e la visibilità necessarie sull'ambiente della minaccia. "Akamai ci ha fornito le informazioni necessarie per dare priorità alle nostre vulnerabilità e per applicare le patch appropriate al 98% delle nostre macchine virtuali nel giro di cinque giorni", afferma Quisenberry.

Inoltre, Akamai si è rivelato un partner fondamentale nel processo di migrazione di Apree su Google Cloud allo scopo di rafforzare ulteriormente il suo sistema di sicurezza. Secondo Schwan, "Akamai ha reso la migrazione molto più semplice nel nostro ambiente in continua evoluzione.

Un punto a favore è stato rappresentato dalla possibilità di garantire una sicurezza più solida alle app web di Vera Whole Health durante la fusione con Castlight. "È stato semplicissimo integrare le app nel nostro ambiente", continua Schwan.

In realtà, Google Cloud e Akamai si occuperanno dell'automazione, come la possibilità di effettuare solide chiamate API, come previsto dal team SecOps. "Il fatto che Akamai ci consenta di controllare le modifiche in modo automatizzato è molto importante per noi, poiché i nostri team possono impostare appropriati controlli di sicurezza e condividere i risultati finali", continua Schwan.

In tal modo, mentre il team è libero di focalizzarsi su misure di sicurezza più solide, Akamai aiuta Apree a procedere con fiducia verso il futuro. "Akamai ci fornisce la tecnologia, la telemetria e le informazioni che ci servono per promuovere un'architettura di sicurezza agile e automatizzata", conclude Quisenberry.

Apree Health si propone di realizzare la prima soluzione completa per l'assistenza sanitaria, in grado di ridefinire l'experience delle cure mediche e trasformare il modo con cui i pazienti accedono e interagiscono con le cure mediche, con cui le strutture sanitarie forniscono le cure mediche e con cui i dipendenti e altri pazienti pagano per le cure ricevute. Apree Health raggiunge questo obiettivo combinando un sistema di navigazione all'avanguardia e informazioni basate sui dati, il modello di assistenza sanitaria più avanzato e modelli di rischio basati sui valori per migliorare i risultati sanitari e semplificare la vita ai pazienti.

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce. Per ulteriori informazioni sulle soluzioni di cloud computing, sicurezza e delivery di contenuti di Akamai, visitate il sito akamai.com/it o akamai.com/it/bloge seguite Akamai Technologies su X(in precedenza Twitter)  e LinkedIn.