Sistema Integrado Para la Deteccion de Vulnerabilidades en Redes Locales.

 

 

MIG: Mozilla InvestiGator (Una herramienta que no te debe faltar).

MIG se compone de agentes instalados en todos los sistemas de una infraestructura que se pueden consultar en tiempo real para investigar el sistemas de archivos, estado de la red, la memoria o configuración de puntos finales. Mira esta herramienta con los ojos de un atacante.

 

 

Imagine que es las 7 de la mañana el sábado, y alguien acaba de publicar una vulnerabilidad crítica para su aplicación PHP favorito. El vuln ya está explotado y grupos de seguridad están lanzando indicadores de compromiso. Su fin de semana no ha comenzado muy bien, y la idea de inspeccionar manualmente miles de sistemas no está haciendo lo mejor.

MIG puede ayudar. La firma de la aplicación PHP vulnerables (un md5 de un archivo, una expresión regular en el archivo, o simplemente un nombre de archivo) pueden ser busca a través de todos sus sistemas utilizando el archivo de módulo. Del mismo modo, los indicadores de compromiso como entradas de registro específicas, archivos de puerta trasera con {md5, sha {1,256,512,3- {256512}}} hashes, las direcciones IP de las redes de bots o firma en procesos recuerdos pueden ser investigados mediante MIG. De repente, su fin de semana está mirando mucho mejor. Y con sólo unas pocas líneas de comando, miles de sistemas serán investigadas de forma remota para verificar que usted no está en riesgo.

Agentes MIG están diseñados para ser ligero, seguro y fácil de implementar para que pueda pedir a sus administradores de sistemas preferidos para añadirlo a un despliegue de base sin miedo a romper toda la red de producción. Todos los parámetros están integradas en el agente en tiempo de compilación, incluyendo la lista y las ACL de investigadores autorizados. La seguridad se refuerza el uso de claves PGP, e incluso si los servidores de MIG se ven comprometidos, siempre y cuando las llaves están a salvo en la computadora portátil de su investigador, nadie va a entrar en los agentes.

MIG está diseñado para ser rápido, y asíncrona. Utiliza AMQP para distribuir acciones para puntos finales, y se basa en canales Va a evitar que los componentes de bloqueo. Operando acciones y comandos se almacenan en una base de datos PostgreSQL y el caché de disco, de tal forma que la fiabilidad de la plataforma no depende de procesos de larga duración.

Mig

La velocidad es un requisito fuerte. La mayoría de las acciones sólo se llevará a unos cientos de milisegundos para ejecutarse en los agentes. Los más grandes, por ejemplo en la búsqueda de un hash en un gran directorio, deben funcionar en menos de un minuto o dos. Con todo, una investigación por lo general termina en entre 10 y 300 segundos.

Privacidad y seguridad son primordiales. Agentes nunca envían los datos sin procesar de nuevo a la plataforma, pero sólo responden a las preguntas en su lugar. Todas las acciones están firmadas por claves GPG que no se almacenan en la plataforma, lo que impide un compromiso de hacerse cargo de toda la infraestructura.

Echa un vistazo a este vídeo de 10 minutos para una presentación más general y una demostración de la interfaz de la consola.

Descargar:

https://github.com/mozilla/mig

Leave a Comment