Apree Health amadurece sua abordagem de segurança

A Apree Health, formada pela fusão da Castlight Health com a Vera Whole Health, tem a missão de transformar a maneira como os pacientes usam os serviços de assistência médica, os provedores prestam esses serviços e os empregadores e outros adquirentes pagam por eles. À medida que acelera a transformação da prestação de serviços de pagamento e tratamento usando tecnologia e um modelo de fornecimento clínico exclusivo, a empresa interage com informações pessoais de saúde (PHI). Para garantir o compartilhamento rápido e seguro dessas informações, a Apree conta com as soluções da Akamai, parceira confiável.

A Apree capacita as empresas e seus funcionários fornecendo uma plataforma de navegação e uma aplicação móvel de assistência médica que ajudam os pacientes a encontrar serviços acessíveis e de alta qualidade; acessar suas informações e solicitações de planos de saúde; gerenciar benefícios e até mesmo monitorar sua saúde. Como a plataforma e a aplicação da empresa são impulsionadas por mais de 100 integrações de parceiros de API e mais de 1.000 integrações de clientes terceirizados, uma cultura voltada para a segurança de cima para baixo, enraizada nas melhores práticas, é essencial.

Como explica David Quisenberry, gerente sênior de Segurança da informação da Apree, "a única maneira de possibilitar melhores resultados de saúde é através do compartilhamento de informações. Mas essas informações são altamente confidenciais e devem ser protegidas".

Essa segurança é essencial à luz dos tipos e tendências de ataque atuais, incluindo ataques de engenharia social e a APIs conduzidos por bots em escala. Lidar de forma holística e eficaz com a segurança em um ambiente desse tipo requer priorização e iteração contínuas, ao mesmo tempo em que deve mostrar evidências de medidas de proteção eficazes.

Infelizmente, a Apree não tinha as soluções certas para capacitar sua equipe de operações de segurança (SecOps) dessa maneira. Seu firewall básico de aplicações da Web notificava a equipe sobre possíveis problemas, solicitando que a SecOps investigasse e determinasse manualmente a melhor resposta. Quando a empresa sofreu um ataque de preenchimento de credencial por meio de sua aplicação móvel, a equipe ficou sobrecarregada com o tempo e as despesas necessários para investigar, relatar possíveis impactos e tomar medidas. 

Cat Schwan, analista sênior de Segurança da informação da Apree, afirma: "Era como correr atrás do tempo. Não conseguíamos melhorar a nossa postura de segurança em tempo hábil".

A primeira prioridade da Apree era evitar ataques a APIs e bloquear as explorações associadas. A configuração das soluções de proteção de aplicações e APIs da Akamai para suas necessidades permitiu que a empresa fizesse exatamente isso. Com a Akamai, a equipe adiciona um nível de segurança à camada de cabeçalhos HTTP em APIs usadas para solicitações POST e integrações de parceiros. 

Ao mesmo tempo, a Akamai protege a empresa e sua aplicação móvel contra a inundação de bots que causaram tanto trabalho e preocupação. Como já se passaram 18 meses desde que a Apree sofreu qualquer ataque de preenchimento de credencial, ela reduziu significativamente os custos indiretos associados à solução dessas explorações. Tão importante quanto isso, a Apree pode proteger os dados confidenciais que consumidores, empregadores e parceiros confiam a ela. 

Além disso, Quisenberry explica: "É fundamental permitirmos o acesso rápido e seguro ao nosso app e aos nossos guias de serviço, e nossa equipe de engenharia está entusiasmada por garantir isso de forma confiável com a Akamai".

Embora a prevenção de ataques a APIs tenha sido o impulso para a parceria com a Akamai, a Apree também se beneficiou de diversas outras maneiras.

A garantia da segurança, juntamente com a capacidade de dimensionar conforme necessário, era importantíssima quando a Apree (então Castlight Health) se uniu ao Boston Children's Hospital (BCH) e ao Centers for Disease Control and Prevention (CDC) para lançar um localizador de vacinas gratuito contra COVID-19. A BCH recrutou a Castlight para desenvolver a infraestrutura tecnológica que alimenta a solução com dados atualizados de vacinas contra COVID-19, o que se traduziu na primeira experiência aberta que a Castlight lançou. A plataforma global da Akamai possibilitou garantir automaticamente que o localizador de vacinas apresentasse informações precisas e atualizadas.

"A Akamai protegeu nosso back-end contra scrapers não autorizados da Web e nos permitiu lidar com o enorme volume de tráfego associado a esse projeto de alto risco e alta visibilidade. Também garantiu que a aplicação não fosse invadida", diz Schwan.

Os recursos de proteção de aplicações que a Apree implementou, incluindo proteção contra ataques de DDoS, defesa de origens e detecção avançada de bots, trabalham em conjunto com seu sistema de detecção de invasões para rápida detecção e inteligência de ameaças. Com as soluções da Akamai fazendo parte desta pilha, a empresa pode entender de forma mais rápida e fácil os vetores de ataque.

Por exemplo, quando a Apree identificou ataques de injeção, a Akamai forneceu proteção e visibilidade imediata sobre o ambiente de ameaça. "A Akamai nos deu os insights necessários para priorizar nossas vulnerabilidades e corrigir 98% de nossas máquinas virtuais em até cinco dias", diz Quisenberry.

Além disso, a Akamai demonstrou sua capacidade com a migração da Apree para o Google Cloud, ampliando ainda mais sua base de segurança. Segundo Schwan, "A Akamai facilitou muito a migração quando mudamos nosso ambiente".

Uma vitória antecipada foi garantir uma segurança mais robusta das aplicações Web da Vera Whole Health durante a fusão com a Castlight. "Foi incrivelmente fácil mesclar essas aplicações em nosso ambiente", continua Schwan.

Na verdade, tanto o Google Cloud quanto a Akamai permitirão a automação, como ao fazer chamadas de API robustas, que a equipe de SecOps espera. "O fato de a Akamai permitir o controle automatizado de mudanças é incrivelmente valioso para nós, capacitando nossas equipes para definir controles de segurança e compartilhar evidências desses controles", continua Schwan.

Ao liberar a equipe para se concentrar em novas e aprimoradas medidas de segurança, a Akamai está ajudando a Apree em direção ao futuro. "A Akamai contribui com a tecnologia, a telemetria e os insights de que precisamos para possibilitar uma arquitetura de segurança ágil e automatizada", conclui Quisenberry.

A Apree Health tem a missão de construir a primeira solução completa de saúde que redefine a experiência de atendimento e transforma a maneira como os pacientes usam o atendimento, a forma como os provedores prestam atendimento e a forma como os empregadores e outros adquirentes pagam pelo atendimento. A Apree Health faz isso combinando a melhor navegação da categoria e insights orientados por dados, o modelo de cuidados primários mais avançado e modelos de risco baseados em valor para desbloquear resultados de saúde e melhorar a vida para aqueles que ela atende.

A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, entregar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de edge e nuvem amplamente distribuída, aproxima os apps e as experiências dos usuários e mantém as ameaças mais distantes. Saiba mais sobre as soluções de computação em nuvem, segurança e entrega de conteúdo da Akamai em akamai.com/pt e akamai.com/pt/blogou siga a Akamai Technologies no X, antigo Twitter, e LinkedIn.