Sobre o CERT.br
O Centro de Estudos, Resposta e Tratamento de Incidentes de
Segurança no Brasil (CERT.br) é um Grupo de
Resposta a Incidentes de Segurança (CSIRT) de Responsabilidade
Nacional de último recurso, mantido
pelo NIC.br.
O NIC.br é uma entidade civil de direito privado e sem fins de
lucro, encarregada da operação do domínio .br, bem como da
distribuição de números IP e do registro de Sistemas Autônomos
no País. Conduz ações e projetos que trazem benefícios à
infraestrutura da Internet no Brasil e implementa as decisões e
os projetos do CGI.br, que é
responsável por coordenar e integrar as iniciativas e serviços
da Internet no país.
Missão
Aumentar os níveis de segurança e de capacidade de tratamento de incidentes das redes conectadas à Internet no Brasil.
Público-Alvo (Constituency)
O CERT.br presta serviços para qualquer rede que utilize recursos administrados pelo NIC.br, mais especificamente endereços IP ou ASNs (Números de Sistemas Autônomos) alocados ao Brasil e domínios sob o ccTLD .br.
RFC 2350
Uma descrição do CERT.br de acordo com
a RFC 2350 (também conhecida
como BCP
21), incluindo informações de contato, missão, políticas e
serviços do CERT.br pode ser encontrada neste link (em
Inglês):
https://cert.br/about/rfc2350/
Integração com a Comunidade
O CERT.br possui uma forte integração com as comunidades nacional e internacional de CSIRTs. Esta integração permite a formação de relações de confiança e de uma rede de contatos com atores chave para o tratamento de incidentes relevantes. Mais informações sobre este assunto podem ser encontradas nas seguintes páginas:
Atividades e Serviços Prestados à Comunidade

Além do processo de tratamento a incidentes em si, para atingir sua missão, o CERT.br também desenvolve outras atividades que incluem a conscientização sobre os problemas de segurança, a análise de tendências e correlação entre eventos na Internet brasileira e o auxílio ao estabelecimento de novos CSIRTs no Brasil.
Estas atividades são descritas de acordo com o padrão "FIRST CSIRT Services Framework", descrito detalhadamente no documento "Computer Security Incident Response Team (CSIRT) Services Framework".
Este padrão agrupa os serviços prestados por um CSIRT em 5 grandes áreas, sendo que o CERT.br presta serviços que são parte de apenas 3 destas áreas, a saber: Gestão de Incidentes (Information Security Incident Management), Consciênca Situacional (Situational Awareness) e Transferência de Conhecimento (Knowledge Transfer).
A seguir são descritos os principais serviços e funções realizadas pelo CERT.br em cada uma destas grandes áreas de serviço.
Gestão de Incidentes
O CERT.br presta serviços da área de Gestão de Incidentes de Segurança da Informação para qualquer rede que utilize recursos administrados pelo NIC.br.
O CERT.br é um CSIRT Nacional de Último Recurso (National CSIRT of Last Resort), ou seja, um CSIRT de responsabilidade nacional que:
- Atua como ponto de contato nacional para notificação de incidentes de segurança, principalmente quando um contato mais específico não é conhecido;
- Facilita a comunicação entre profissionais, especialistas e outras equipes, no país e no exterior, que possam auxiliar em alguma fase do processo de tratamento de um incidente.
O CERT.br sempre vai procurar localizar e coordenar as atividades com CSIRTs e Grupos de Segurança das organizações envolvidas. Se nenhum grupo for localizado, será feito o melhor esforço para localizar o responsável pelo Sistema Autônomo envolvido.
A atuação depende da solicitação de uma das partes envolvidas para apoio na análise ou resposta ao incidente. Mediante solicitação de apoio, o CERT.br pode desempenhar uma das seguintes funções:
- Coordenação: auxiliar a comunicação e resolução do incidente através de um trabalho colaborativo com outras entidades como CSIRTs, empresas, universidades, provedores de acesso e serviços Internet, sistemas autônomos e operadores da justiça;
- Análise Técnica: dar suporte ao processo de análise de atividades maliciosas e de sistemas comprometidos;
- Suporte à Mitigação e Recuperação: dar suporte ao processo de mitigação de danos causados por um incidente e de recuperação de sistemas comprometidos.
Cabe ressaltar que o CERT.br não possui acesso às instalações ou sistemas de terceiros e sua atuação é focada em habilitar outros times a responder os incidentes da maneira mais efetiva possível.
Classificação e Divulgação das Informações: a princípio o CERT.br trata as informações recebidas como confidenciais, mas elas podem ter que ser compartilhadas com outros times ou organizações que precisem ser envolvidos para resolver um incidente. As informações serão anonimizadas sempre que possível. O CERT.br não comenta nem emite opiniões sobre incidentes específicos, independentemente de quem esteja envolvido, cabendo somente às partes envolvidas se pronunciar sobre um incidente em andamento.
TLP: O CERT.br adere ao padrão TLP (Traffic Light Protocol) como definido pelo FIRST. Informações que possuam as marcações TLP:CLEAR, TLP:GREEN, TLP:AMBER, TLP:AMBER+STRICT ou TLP:RED, conforme indicado no padrão TLP, serão tratadas da maneira apropriada. Mais informações sobre o uso do TLP pelo CERT.br podem ser obtidas em: https://cert.br/tlp/.
Consciência Situacional

O CERT.br trabalha proativamente para aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço Internet brasileiro.
Dentre estas atividades estão a coleta e o compartilhamento de informações que possam ser usadas pela comunidade para auxiliar seus esforços de prevenção e recuperação de incidentes. As funções a seguir contribuem para atingir estes objetivos.
Aquisição de Dados: coletar e processar informações das mais diversas fontes, que possibilitem aumentar a visibilidade dos ataques que possam afetar redes conectadas à Internet no Brasil. As principais fontes de dados do CERT.br são:
- Projeto Honeypots Distribuídos: rede de honeypots desenvolvida e mantida pelo CERT.br, com sensores distribuídos em diversas redes do país, para obter dados sobre ataques a redes alocadas ao Brasil.
- Projeto SpamPots: rede de honeypots desenvolvida e mantida pelo CERT.br, com sensores distribuídos em diversos países, para obter dados sobre o abuso da infra-estrutura de redes conectadas à Internet para envio de spam.
- Threat Feeds: através de parceiros globais o CERT.br possui acesso a dados de ameaças relacionadas aos ASNs alocados ao Brasil coletados por diversas organizações. São exemplos de parceiros globais do CERT.br nessa área: Team Cymru, ShadowServer Foundation, SpamHaus e Shodan.
- Notificações de Incidentes: alguns dos incidentes notificados ao CERT.br geram Indicadores de Comprometimento (IoCs) que são compilados para compartilhamento com os ASNs ou com comunidades específicas, dependendo do tipo de informação e de sua classificação ou TLP.
Compartilhamento de Informações: as informações coletadas e processadas pelo CERT.br são compartilhadas com a comunidade de diversas formas e sempre respeitando os níveis de confidencialidade ou a classificação TLP, dependendo da natureza da informação:
- Estatísticas Públicas: o CERT.br mantém um conjunto de
métricas públicas derivadas dos dados de notificações
voluntárias de incidentes de segurança, dos dados capturados
nos honeypots e de dados recebidos através de parceiros.
Estes dados podem ser acessados nas seguintes páginas:
https://stats.cert.br/
https://honeytarg.cert.br/honeypots/stats/flows/current/ - Notificações para Sistemas Autônomos: o CERT.br analisa os dados recebidos dos diversos parceiros de forma a identificar sistemas mal configurados que possam ser abusados por terceiros, bem como para identificar possíveis sistemas vulneráveis a comprometimento. Estes dados são agrupados por ASN e são enviadas semanalmente notificações para os responsáveis contendo estas informações e, também, com dicas sobre como identificar e resolver os problemas.
- Compartilhamento via MISP: O CERT.br tem incentivado o
uso de MISP para
compartilhamento de informações de ameaças na comunidade de
CSIRTs brasileiros como uma forma de automatizar este processo,
utilizando uma plataforma aberta, gratuita e amplamente
utilizada pela comunidade internacional. Atualmente o CERT.br
compartilha algumas categorias de dados via MISP com CSIRTs e
com algumas comunidades de cooperação setorial. Informações
sobre o MISP do CERT.br e sobre a comunidade nacional de MISP
podem ser encontradas em:
https://cert.br/misp/
Transferência de Conhecimento
Para melhor cumprir sua missão, o CERT.br investe em serviços que permitam transferir para a comunidade o conhecimento adquirido na análise de ameaças e vulnerabilidades observadas no dia-a-dia. Estes serviços incluem o incentivo para a formação de uma comunidade de CSIRTs no país e a disseminação de boas práticas e materiais de conscientização, para melhor prevenir e tratar incidentes de segurança. Os serviços listados a seguir fazem parte dos esforços para Transferência de Conhecimento.
- Conscientização
- Desenvolver materiais de boas práticas para administradores de redes Internet e usuários finais;
- Realizar reuniões com setores diversos da Internet no Brasil, de modo a articular a cooperação e implantação de boas práticas de segurança;
- Fomentar a cooperação entre CSIRTs através da organização do Fórum Brasileiro de CSIRTs, da manutenção de listas de discussão e da lista de CSIRTs Brasileiros;
- Ministrar palestras e workshops, de forma a disseminar boas práticas de segurança nos mais diversos setores.
- Treinamento
- Oferecer treinamentos na área de tratamento de incidentes de segurança, especialmente para membros de CSIRTs e para instituições que estejam criando seu próprio grupo;
- Ministrar módulos relativos à segurança e tratamento de incidentes em treinamentos organizados por organizações parceiras.
- Aconselhamento Técnico e de Políticas
- Participar das discussões nacionais e internacionais de Governança da Internet, com intuito de esclarecer questões técnicas e levar a estes fórums a visão de grupos de tratamento de incidentes, incluindo possíveis impactos de decisões políticas na segurança das redes;
- Participar de grupos de trabalho e discussões governamentais e setoriais, de forma a compartilhar o conhecimento e incentivar a adoção de boas práticas.
História e Governança
O CERT.br (antigo NBSO) foi criado em junho de 1997 por iniciativa do Comitê Gestor da Internet no Brasil (CGI.br), seguindo as recomendações do relatório "Rumo a Criação de uma Coordenadoria de Segurança de Redes na Internet Brasil", publicado em agosto de 1996. Este relatório foi desenvolvido pelo subgrupo de trabalho de segurança do GTER por solicitação do CGI.br.
Parte da história do CERT.br foi documentada no Capítulo "Wisdom from the Field", do Guia Getting started with a National CSIRT guide, que contou com os Gerentes do CERT.br como especialistas entrevistados. Este Guia, além de ilustrar boas práticas com o exemplo do Brasil, também aborda o papel do NIC.br e do CGI.br para o desenvolvimento da Internet no país, bem como o modelo multissetorial de Governança.
As atividades conduzidas pelo CERT.br contribuem para o cumprimento das seguintes atribuições do CGI.br:
- I - estabelecer diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil;
- IV - promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais, para a segurança das redes e serviços de Internet, bem assim para a sua crescente e adequada utilização pela sociedade;
- VI - ser representado nos fóruns técnicos nacionais e internacionais relativos à Internet;
De maneira complementar, as atividades do CERT.br são prestadas de acordo com o Estatuto do NIC.br, em especial para atingir os seguintes objetivos da entidade:
- IV - atender aos requisitos de segurança e emergências na Internet Brasileira em articulação e cooperação com as entidades e os órgãos responsáveis;
- VII - promover ou colaborar na realização de cursos, simpósios, seminários, conferências, feiras e congressos, visando contribuir para o desenvolvimento e aperfeiçoamento do ensino e dos conhecimentos nas áreas de suas especialidades.
Os serviços do CERT.br, com exceção dos cursos licenciados da Universidade Carnegie Mellon, são prestados gratuitamente a todas as redes que utilizam recursos administrados pelo NIC.br (endereços IP ou ASNs alocados ao Brasil e domínios sob o ccTLD .br). Os recursos financeiros para a prestação destes serviços vem do registro de domínios sob o ccTLD .br.