Sistema integrado para la detección de vulnerabilidades en redes locales.
|
MIG se compone de agentes instalados en todos los sistemas de una red, formando una infraestructura que permite consultar e investigar en tiempo real: cambios en sistemas de archivos, estado de la red, la memoria o configuración.
MIG es tremendamente efectivo para la búsqueda de vulnerabilidades. Utilizando el módulo de archivos se pueden buscar vulnerabilidades en aplicaciones empleando: un md5 de un archivo, una expresión regular del archivo o simplemente un nombre de archivo. Del mismo modo se pueden rastrear indicios de que el sistema esta comprometido como: entradas de registro específicas, hashes, direcciones IP de las redes de botnet y firmas en procesos.
Los agentes MIG están diseñados para ser ligeros, seguros y fáciles de implementar para que los administradores de sistemas puedan añadirlos a un despliegue sin miedo inhabilitar la red de producción. Todos los parámetros están integradas en el agente en tiempo de compilación, incluyendo las ACL de usuarios autorizados. La seguridad se refuerza con el uso de claves PGP, e incluso si los servidores de MIG se ven comprometidos, siempre y cuando las llaves están a salvo en poder del administrador, no se puede acceder a los agentes.
MIG está diseñado para ser rápido, y asíncrono. Utiliza AMQP para distribuir acciones en puntos finales y se basa en canales para evitar el bloqueo de los componentes. Las acciones y comandos se almacenan en una base de datos PostgreSQL, de tal forma que la fiabilidad de la plataforma no depende de procesos de larga duración.
La velocidad es un punto fuerte de MIG. La mayoría de las acciones sólo tardaran unos cientos de milisegundos ejecutarse en los agentes. Las mas complejas, por ejemplo, la búsqueda de un hash en un gran directorio, debe completarse en menos de un minuto o dos. Con todo, una investigación por lo general termina en entre 10 y 300 segundos.
Privacidad y seguridad son primordiales. Los agentes nunca envían los datos sin procesar de nuevo a la plataforma, sólo responden cuando son interrogados. Todas las acciones están firmadas por claves GPG que no se almacenan en la plataforma, lo que impide un ataque puntual comprometa toda la infraestructura.
MIG utiliza firma de acciones JSON que representa la operación de la investigación realizada por un grupo de agentes. El formato JSON está diseñado para ser fácil de leer y fácil de escribir sin la ayuda de un programa. El objetivo a largo plazo es permitir a los investigadores compartir documentos fácilmente.
La línea de comandos es la interfaz principal de MIG. Proporciona el conjunto básico de comandos para crear las investigaciones, firmarlas, publicarlos en la API y analizar los resultados.
Más información y descarga de MIG:
https://github.com/mozilla/mig