ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ばぁどのハニーポット・うぉっちんぐ - T-Potを一ヶ月運用してみて振り返り -

ハニーポットを運用して一ヶ月が立ちました。

なかなか観測の仕方が増えてきたこともあり、充実したハニーポッターライフを送っております。

今回は10月、丸々一ヶ月運用できたので諸々振り返りしてみます。

スペック

クラウドAWS

EC2インスタンス

インスタンスタイプ メモリ SSD
t2.medium 4GB 64GB

9月に一度ぶっ壊れた時にt2.largeにあげたのですが、費用がバカにならないため、t2.mediumに戻しました。 前回壊れた時はSSDを初期設定値である8GBしか確保しておらず、それが原因のようでした。

今は64GB確保して、swap領域も確保しているので安定稼働しているように思えます。

維持費用

10月:$50.84

f:id:UltraBirdTech:20181031094218p:plain

日本円で5,748円。

もう少し安くしたいというのが本音。

少しスペック下げようかな。

これからの展望

できることを増やしたい。 T-Potはたくさんのハニーポットの集合体なのでもっとできることはたくさんあるはず。一つ一つのハニーポットの特性を活かしながら徐々にできることを増やしていきたいです。

あと、費用を安く抑えたい。 まずはインスタンスSSDなどを下げてみて、手動でチューニングしてあげればいいのかな?というところ。 サーバー側の知識がいまいちないので、少し不安ですができるところまでやっていきたいです。

まずは32GBにして様子を見たい。

所感

実際に攻撃を直に感じることができるのはとても良い経験です。

現在は検知したCVEを観測するのと、マルウェアの解析などを行っております。

CVEを観測し続けていると、過去の脆弱性にどのようなものがあったかの知見を探ることができます。 割とクリティカルなものがあったりして、各ベンダーからも御達しがあるなど当時どれだけ対応が必要だったかなどが想像できます。

マルウェア解析というのも最近始めたのですが、なかなか面白いです。 特にマルウェアは今年の情報処理技術者試験でも猛威を振るった(午前問題で特定のマルウェアに関する動作に関する問いが出された)ので、なんのマルウェアがこれから採取できるかとても楽しみでございます。

これからも財布と相談しながらハニーポットの運用と観測を続けていきます。