Sistema integrado para la detección de vulnerabilidades en redes locales.
|
MIG se compone de agentes instalados en todos los sistemas de una red, formando una infraestructura que permite consultar e investigar en tiempo real: cambios en sistemas de archivos, estado de la red, la memoria o configuración.
MIG es tremendamente efectivo para la búsqueda de vulnerabilidades. Utilizando el módulo de archivos se pueden buscar vulnerabilidades en aplicaciones empleando: un md5 de un archivo, una expresión regular del archivo o simplemente un nombre de archivo. Del mismo modo se pueden rastrear indicios de que el sistema esta comprometido como: entradas de registro específicas, hashes, direcciones IP de las redes de botnet y firmas en procesos.
MIG está diseñado para ser rápido, y asíncrono. Utiliza AMQP para distribuir acciones en puntos finales y se basa en canales para evitar el bloqueo de los componentes. Las acciones y comandos se almacenan en una base de datos PostgreSQL, de tal forma que la fiabilidad de la plataforma no depende de procesos de larga duración.
La velocidad es un punto fuerte de MIG. La mayoría de las acciones sólo tardaran unos cientos de milisegundos ejecutarse en los agentes. Las mas complejas, por ejemplo, la búsqueda de un hash en un gran directorio, debe completarse en menos de un minuto o dos. Con todo, una investigación por lo general termina en entre 10 y 300 segundos.
Privacidad y seguridad son primordiales. Los agentes nunca envían los datos sin procesar de nuevo a la plataforma, sólo responden cuando son interrogados. Todas las acciones están firmadas por claves GPG que no se almacenan en la plataforma, lo que impide un ataque puntual comprometa toda la infraestructura.
MIG utiliza firma de acciones JSON que representa la operación de la investigación realizada por un grupo de agentes. El formato JSON está diseñado para ser fácil de leer y fácil de escribir sin la ayuda de un programa. El objetivo a largo plazo es permitir a los investigadores compartir documentos fácilmente.
La línea de comandos es la interfaz principal de MIG. Proporciona el conjunto básico de comandos para crear las investigaciones, firmarlas, publicarlos en la API y analizar los resultados.
Más información y descarga de MIG:
https://github.com/mozilla/mig