This is the Trace Id: 05ca81b5f85d19c8e1c532551d11302e
Преминаване към основното съдържание
Център за сигурност
Инициатива за защитено бъдеще

Отчет за напредъка на Инициативата за защитено бъдеще за ноември 2025 г.

Инициативата за защитено бъдеще (SFI) на Microsoft е непрекъснат ангажимент за революционизиране на начина, по който проектираме, изграждаме, тестваме и управляваме нашите продукти и услуги, за да постигнем най-високите стандарти за сигурност.
Изтегляне на отчета Изтегляне на резюме на ръководството
В нашия трети доклад за напредъка споделяме актуализации за всяка област и инженерна колона, представяме съпоставяне с NIST Cybersecurity Framework, за да помогнем на клиентите да разберат постигнатия напредък, използвайки признат индустриален рамков стандарт, и подчертаваме нови възможности за сигурност, предоставени на клиентите. Също така споделяме най-добри практики и насоки за внедряване, съобразени с принципите на Zero Trust, за да помогнем на клиентите да намалят риска си.
Продължаваме да насърчаваме култура, която поставя сигурността на първо място в цялата организация.
  • 95% от служителите вече са завършили последното обучение по сигурност, възложено през юли 2025 г., на тема Защита срещу атаки с изкуствен интелект, което остава един от най-високо оценените ни курсове.
     
  • Настроението сред инженерите по отношение на сигурността се е повишило с 9 точки от февруари 2024 г.
     
  • За да укрепим мисленето с приоритет сигурността както на работното място, така и у дома, разработихме ресурси за служителите и ги направихме достъпни за клиентите за първи път, за да подобрим осведомеността по сигурността.
     
Получете приложими насоки и прочетете повече за това как сигурността е вградена в начина, по който работим, как ръководим и как измерваме въздействието в пълния доклад.
"Направихме сигурността основен приоритет за всеки служител в Microsoft, не само за екипа по сигурност.”
Васу Джакал
CVP, Microsoft Security
Продължаваме да разширяваме модела си на управление, за да отговорим на развиващия се пейзаж на заплахите и увеличената регулаторна сложност.
  • Разширихме обхвата на Съвета за управление на киберсигурността, като включихме 3 допълнителни заместник CISO функции:
    • Верига на доставки и трети страни
    • Бизнес функции, маркетинг и финанси
    • Съответствие с европейското законодателство за киберсигурност

  • Създадохме Европейската програма за сигурност на Microsoft, за да задълбочим партньорствата и да информираме по-добре европейските правителства за заплахите. Продължихме активното участие в експертната група по Закона за киберустойчивост на Европейския съюз.

  • Активно си сътрудничихме с индустриални партньори за по-добро съгласуване на съществуващите и бъдещите регулации за киберсигурност и изграждане на капацитет чрез Инициативата за напредък в регионалната киберсигурност в Глобалния юг.
Получете приложими насоки и прочетете повече за това как продължаваме да разширяваме модела си на управление, за да отговорим на развиващия се пейзаж на заплахите и увеличената регулаторна сложност в пълния доклад.
"Истински вярваме, че не може да имате устойчива програма, ако културата ви не е съгласувана, и със сигурност не може да имате измерима програма, ако управлението ви не е съгласувано.”
Ан Джонсън
CVP & Заместник CISO, Офис за управление на сигурността на клиентите
Принципи за сигурност

Защита по дизайн, Защита по подразбиране и Защитени операции

Водени от три принципа на сигурността – защитено по дизайн, защитено по подразбиране и защитени операции – екипите в Microsoft продължават да доставят иновации, които помагат за защитата на клиентите и Microsoft.
  • Въведени са задължителни сигурни настройки по подразбиране, разширена хардуерна надеждност и актуализирани стандарти за сигурност, за да се подобри сигурността в облака.
    • Многофакторната автентикация вече е задължителна за всички потребители на Azure, което намалява риска от атаки, свързани с пароли. Освен това Azure Bastion Developer вече предлага защитена по подразбиране връзка към виртуални машини в 35 региона.
    • Версия 2 на Microsoft Cloud Security Benchmark (MCSB) предоставя на клиентите актуализирани насоки за базова линия на сигурността, които могат да бъдат приложени с помощта на Microsoft Defender for Cloud.
    • Azure Local увеличи броя на настройките за сигурност по подразбиране с 25% (400 настройки). Това допълнително опростява възможността на клиентите да спазват индустриалните стандарти и по-добре защитава възлите на Azure Local от допълнителни заплахи като безфайлов зловреден софтуер.
  • Ние предоставяме най-добри практики и насоки за внедряване, съобразени с принципите на Zero Trust, за да помогнем на клиентите да намалят риска си.
Назад към разделите
Стълбове на инженерството

Шестте стълба на SFI включват цели и действия, които определят нашия подход към сигурността

От 28 цели, 5 са близо до завършване, 12 са постигнали значителен напредък и продължаваме да напредваме по останалите. В резултат на Инициативата за защитено бъдеще подобрихме сигурността на нашата платформа и услуги, както и способността си да откриваме и реагираме на заплахи.
  • Подобрихме сигурността на идентичността за услугите на Microsoft и клиентите.
    • Мигрирахме 95% от виртуалните машини за подписване на Microsoft Entra ID към Azure Confidential Compute.
    • Преместихме 94,3% от валидирането на защитни токени на Microsoft Entra ID към нашия стандартен софтуерен комплект за разработка на идентичност (SDK).
    • Въведохме многофакторна автентикация, устойчива на фишинг, за 99,6% от служителите и устройствата на Microsoft.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
  • Продължаваме да увеличаваме изолацията и да намаляваме риска от странично движение.
    • Прекратихме използването на услуги на Active Directory за улесняване на достъпа (ADFS) в нашата продуктивна среда.
    • Мигрирахме 98% от облачните активи, управлявани от Azure Service Manager (ASM), към Azure Resource Manager (ARM).
    • Изведохме от експлоатация още 560 000 неизползвани и остарели наематели и 83 000 неизползвани приложения Entra ID в продуктивните и производствени среди на Microsoft.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
  • Постигнатият напредък подобри мрежовата сигурност и предостави нови възможности за клиентите.
    • Постигнат е пълен инвентар на мрежовите устройства и зряло управление на жизнения цикъл на активите.
    • Засилихме сигурността чрез подобрена изолация и защитни контроли.
    • Ускорихме приемането на Network Security Perimeter (NSP) с над 1,1 милиона ресурси в режим на обучение и приблизително 500 000 в режим на прилагане.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
  • Подобрихме сигурността на системите, които използваме за изграждане, тестване и внедряване на код.

    • Подписването на код вече е почти изцяло заключено към производствени идентичности, а откритите тайни в кода се отстраняват непрекъснато.
    • Почти пълен инвентар на софтуерните активи позволява бърз отговор при инциденти и универсално прилагане на политики.
    • Разширени по подразбиране сигурни тръбопроводи и изолация на мрежата, като почти всички производствени версии и 94% от тръбопроводите за пускане на пазара използват управлявани шаблони.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
  • Напредваме с проактивното търсене на заплахи, бързия отговор при инциденти и обединените защитни контроли.
    • 98% от производствената инфраструктура се проследява централно, като логовете се съхраняват за 2 години.
    • Внедрени са над 50 нови открития в инфраструктурата на Microsoft, насочени към приоритетни тактики, техники и процедури (TTP) – приложимите открития ще бъдат интегрирани в Microsoft Defender.
    • Интеграцията на изкуствен интелект ускорява подобренията в жизнения цикъл на откриване – от идентификация до валидиране на ефективността.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
  • Увеличаваме скоростта на идентифициране, триаж и разрешаване на уязвимости.
    • Триажът на уязвимости, базиран на изкуствен интелект, допринесе за 72% успех при адресиране на уязвимости в рамките на намаленото време за смекчаване, въпреки продължаващото увеличение на обема и обхвата.
    • Ускорените процеси на внедряване ускориха смекчаването на уязвимости.
    • Microsoft публикува 1 096 CVE, включително 53 CVE без действия в облака, и изплати 17 милиона щатски долара като награди, демонстрирайки повишена прозрачност и външно ангажиране.

    Прочетете повече, включително връзки към приложими насоки, в пълния доклад.
ПРИЛОЖИМИ НАСОКИ

Приложете наученото на практика

В този доклад подчертаваме 10 модела и практики, които клиентите могат да следват, за да намалят риска си в приоритетни области, и споделяме допълнителни най-добри практики и насоки за всяка област и стълб.
Изтеглете доклада за повече насоки
Ресурси

Разгледайте ресурсите на Инициатива за защитено бъдеще

  1.
Отчет за напредъка на SFI

Чуйте от нашето ръководство

Прочетете какво казва Чарли Бел за доклада за напредъка на SFI от ноември 2025 г.
Прочетете в блога
Жена показва екрана на лаптопа си на мъж.
Модели и практики

Модели и практики на Инициатива за защитено бъдеще на Microsoft

Укрепете сигурността на вашата организация с насоки, използващи доказани архитектури за сигурност и най-добри практики.
Научете повече
Инициатива за защитено бъдеще

Присъединете се към ангажимента на Microsoft за сигурност над всичко останало

Развийте технологиите и операциите на вашата организация до най-високите стандарти за сигурност.
Прочетете повече за Инициатива за защитено бъдеще
Отчет за напредъка на SFI

Април 2025: разгледайте нашия напредък

Прочетете доклада за SFI от април 2025 г., за да видите къде бяхме и колко сме напреднали.
Прочетете доклада от април 2025 г.
Обратно към контролите за навигация на въртележката

Следвайте Microsoft