Slack 新型异常事件响应架构揭秘

Slack 推出了一个名为异常事件响应（AER）的新型安全系统，用于实时检测和响应可疑活动。该系统旨在减少检测与采取缓解措施之间的时间，帮助组织预防潜在的安全漏洞升级。

AER 是 Slack 平台上的一个原生安全特性，能够自动识别高置信度的威胁者行为。当检测到可疑活动时，系统可以自动终止相关用户会话，将安全检测与响应之间的时间差从几天或是几小时缩短到几分钟。

Slack 工程师Nathan Lehotsky和Ryan Persaud强调了他们公司对安全的态度：

信任是我们的首要核心价值。我们相信，安全是我们和客户之间的共同责任，赋予他们数据和工具来构建安全解决方案，同时也打造一个安全的平台来消除威胁。

异常事件响应架构由三个主要组件：检测引擎、决策框架和响应协调器。检测引擎每天持续监控数十亿的 Slack 事件，使用基于规则的启发式方法和针对每个组织的使用模式量身定制的动态阈值。它能识别出异常活动，包括从 Tor 出口节点登录、快速文件下载、过多的 API 调用、会话指纹不匹配和非标准用户代理等。

Slack AER 系统架构（图片来源：Slack工程博客）

当检测到潜在威胁时，决策框架会根据内部规则和组织的配置验证异常。这一步骤减少了误报，并确保只有发现真正的威胁才会触发自动操作。响应协调器负责执行预定义的操作，包括终止受影响的会话、生成审计日志以及通知相关安全团队。通知逻辑可以确保不会向承担多个角色的用户重复发送警报，从而保持事件响应的可管理性。

Slack 为企业客户提供全面的审计日志，记录实体在平台上的操作。AER 利用异常审计日志对其进行了扩展，自动将检测到的异常与响应联系起来。虽然并非所有的组织都能完全集成到更广泛的安全解决方案中，但 AER 为企业网格客户提供了一个即开即用的解决方案，既可以独立使用，也可以作为更大的安全策略的一部分。

根据 Slack 工程团队的说法，该系统是可配置的，允许组织指定哪些类型的异常触发自动响应，哪些只需要记录。审计日志保留了每个检测到的异常和相应自动响应的完整历史记录，可以帮助组织调查事件、验证操作并保证满足内部政策或监管要求。

正如 Slack 工程团队所言，AER 采用的方法减少了手动干预的需求，提高了透明度，并确保安全操作是完全可审计的。通过将检测和自动响应相结合，安全团队可以专注于更高优先级的调查工作，同时高效地处理常规异常。

声明：本文为 InfoQ 翻译，未经许可禁止转载。

原文链接：https://www.infoq.com/news/2025/10/slack-aer-security-system/