# CISA - Cybersecurity and Infrastructure Security Agency > [!critical] A CISA é a principal agência federal dos EUA para defesa cibernética e proteção de infraestrutura crítica. Publica o **Known Exploited Vulnerabilities (KEV) Catalog** - lista de vulnerabilidades com exploração ativa confirmada que serve como sinal de prioridade máxima (P1) no pipeline RunkIntel. ## Visão Geral A CISA (Cybersecurity and Infrastructure Security Agency) é a agência federal dos Estados Unidos responsável por defender infraestrutura crítica nacional contra ameaças cibernéticas e físicas. Criada em 2018 pelo Cybersecurity and Infrastructure Security Agency Act, a CISA opera sob o Departamento de Segurança Interna (DHS) e representa o braço operacional do governo federal americano em resposta a incidentes cibernéticos. A relevância da CISA para o RunkIntel é direta e crítica: o **Known Exploited Vulnerabilities (KEV) Catalog** é a fonte de priorização de vulnerabilidades mais confiável disponível públicamente. Uma CVE no KEV significa que há evidência confirmada de exploração ativa por atores de ameaça, tornando-a prioridade máxima (P1) independente do CVSS score. O KEV é atualizado continuamente e consultado via API JSON em tempo real pelo pipeline de coleta do RunkIntel. A CISA também pública **advisories** e **alertas conjuntos** com parceiros internacionais (NSA, FBI, NCSC UK, ANSSI, ACSC) sobre campanhas de atores estado-nação, vulnerabilidades críticas e técnicas de ataque emergentes. Esses advisories são fontes Tier 2 de alta confiabilidade para inteligência de ameaças. ## Mandato e Missão A CISA tem três pilares de atuação: 1. **Cibersegurança**: Detectar, proteger e responder a ameaças cibernéticas contra infraestrutura federal e crítica dos EUA 2. **Segurança de Infraestrutura**: Proteger os 16 setores de infraestrutura crítica definidos pelo governo federal americano 3. **Comúnicações de Emergência**: Garantir comúnicações seguras e resilientes para governo, primeiro respondentes e setor privado ## Relevância para Cibersegurança ```mermaid graph TB CISA["🛡️ CISA"] CISA --> KEV["KEV Catalog<br/>Vulnerabilidades Exploradas"] CISA --> ADV["Advisories<br/>e Alertas"] CISA --> SHIELD["Shields Up<br/>Alerta de Ameaça"] CISA --> PART["Parcerias<br/>Internacionais"] KEV --> K1["Exploração ativa<br/>confirmada"] KEV --> K2["Prazo obrigatório<br/>para agências federais"] KEV --> K3["API JSON<br/>Atualização contínua"] ADV --> A1["Advisories conjuntos<br/>NSA / FBI / NCSC"] ADV --> A2["ICS-CERT<br/>Sistemas industriais"] ADV --> A3["Alertas AA-series<br/>Nation-state TTPs"] PART --> P1["Five Eyes<br/>UK, CA, AU, NZ"] PART --> P2["ENISA<br/>União Europeia"] PART --> P3["CERT.br<br/>Brasil"] style CISA fill:#1a1a2e,stroke:#e94560,color:#fff style KEV fill:#16213e,stroke:#dc2626,color:#fff style ADV fill:#16213e,stroke:#0f3460,color:#fff style PART fill:#16213e,stroke:#533483,color:#fff ``` ### KEV - Known Exploited Vulnerabilities Catalog O KEV é a ferramenta de maior impacto operacional da CISA: - **Critério de inclusão**: Evidência confiável de exploração ativa contra sistemas reais - **Obrigação federal**: Agências federais americanas têm prazo definido (geralmente 14-21 dias) para remediar CVEs no KEV - **Relevância global**: Embora a obrigação legal seja federal americana, o KEV é referência de priorização adotada globalmente - **Volume atual**: ~1.200+ CVEs catalogadas (crescente) - **API**: `https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json` **Regra RunkIntel**: Toda CVE adicionada ao KEV deve receber nota no vault em até 24 horas, com prioridade P1. ### ICS-CERT A CISA opera o ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), que pública advisories específicos para vulnerabilidades em sistemas de controle industrial (SCADA, PLCs, RTUs) - relevante para setores de energia, manufatura e infraestrutura crítica. ### Alertas de Nação-Estado A CISA pública alertas conjuntos (série AA-YYYY-NNN) sobre campanhas de atores estado-nação como grupos vinculados à Russia, China, Irã e Coreia do Norte. Esses alertas incluem TTPs detalhados, IOCs e recomendações de mitigação - são fontes primárias para criação de notas de grupo e campanha no RunkIntel. ## Regulações e Padrões Associados | Framework | Escopo | Status | | --------- | ------ | ------ | | BOD 22-01 | Obrigação de remediar KEV para agências federais | Vigente | | [[nist-csf\|NIST CSF 2.0]] | Framework de cibersegurança referênciado pela CISA | Vigente | | FISMA | Federal Information Security Management Act | Vigente | | Zero Trust Architecture (NIST SP 800-207) | Mandato de adoção para governo federal | Em implementação | ## Publicações e Recursos - **KEV Catalog**: `cisa.gov/known-exploited-vulnerabilities-catalog` - atualizado diariamente - **Advisories e Alertas**: `cisa.gov/news-events/cybersecurity-advisories` - série AA e ICS-CERT - **#StopRansomware Guide**: Guia de prevenção e resposta a ransomware - **Shields Up**: Portal de orientações durante períodos de ameaça elevada - **CISA Cybersecurity Performance Goals (CPGs)**: Conjunto de práticas prioritárias para organizações - **Malware Analysis Reports (MARs)**: Análises técnicas de malware em cooperação com FBI/NSA ## Referências - [CISA - Portal oficial](https://www.cisa.gov) - [KEV Catalog API](https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json) - [CISA Cybersecurity Advisories](https://www.cisa.gov/news-events/cybersecurity-advisories) - [ICS-CERT Advisories](https://www.cisa.gov/topics/industrial-control-systems) - [[nist|NIST]] - parceiro em padrões de cibersegurança - [[enisa|ENISA]] - equivalente europeu - [[cert-br|CERT.br]] - CSIRT nacional brasileiro - [[critical-infrastructure|Infraestrutura Crítica]] - foco primário da CISA - [[government|Setor Governo]] - principal audiência regulatória