This is the Trace Id: 4d75c1291dc238e072a16a4d97938c3c
Siirry pääsisältöön
Luottamuskeskus
Secure Future Initiative

Marraskuun 2025 SFI:n tilanneraportti

Microsoftin Secure Future Initiative (SFI) on jatkuva sitoutuminen uudistaa tapaa, jolla suunnittelemme, rakennamme, testaamme ja käytämme tuotteitamme ja palveluitamme saavuttaaksemme korkeimmat suojausstandardit.
Lataa raportti Lataa pääyhteenveto
Kolmannessa tilanneraportissamme jaamme päivitykset kaikilta osa-alueilta ja kehityspilareilta, esittelemme yhdistämismäärityksen NIST Cybersecurity Frameworkiin, mikä auttaa asiakkaita ymmärtämään saavutettua edistystä tunnustetun alan viitekehyksen avulla, sekä korostamme uusia asiakkaille toimitettuja tietoturvaominaisuuksia. Jaamme myös parhaita käytäntöjä ja toteutusohjeita, jotka perustuvat Zero Trust -suojausmalliin, auttaaksemme asiakkaita vähentämään riskejään.
Kehitämme jatkossakin kulttuuria, joka asettaa tietoturvan etusijalle koko organisaatiossa.
  • 95 % työntekijöistä on jo suorittanut heinäkuussa 2025 annetun uusimman tietoturvakoulutuksen, joka käsittelee tekoälypohjaisia hyökkäyksiä ja on edelleen yksi korkeimmin arvostetuista kursseistamme.
     
  • Tietoturvaan liittyvät tekniset asenteet ovat parantuneet yhdeksällä pisteellä helmikuusta 2024.
     
  • Olemme kehittäneet työntekijöille resursseja ja tuoneet ne asiakkaiden saataville ensimmäistä kertaa tietoturvatietoisuuden parantamiseksi.
     
Lue täydellisestä raportista käytännön ohjeita ja lisätietoja siitä, miten turvallisuus on osa työtämme, johtamistamme ja vaikutusten mittaamista.
"Olemme tehneet tietoturvasta keskeisen prioriteetin jokaiselle Microsoftin työntekijälle, ei vain turvallisuustiimille."
Vasu Jakkal
CVP, Microsoft Security
Jatkamme hallintomallimme laajentamista vastaamaan muuttuvaa uhkakuvaa ja lisääntyvää sääntelyn monimutkaisuutta.
  • Laajensimme kyberturvallisuuden hallintoneuvoston tehtäväaluetta kolmella uudella varajohtajan tehtävällä:
    • Toimitusketju ja kolmannet osapuolet
    • Liiketoiminta, markkinointi ja talous
    • EU:n kyberturvallisuuslainsäädännön noudattaminen

  • MicrosoftIn Euroopan tietoturvaohjelma luotiin kumppanuuksien syventämiseksi ja Euroopan valtionhallinnon tiedottamista uhkaympäristöstä entistä paremmin. Aktiivinen osallistuminen Euroopan unionin kyberturvallisuuslain asiantuntijaryhmään.

  • Aktiivinen yhteistyö alan kumppaneiden kanssa nykyisten ja tulevien kyberturvallisuusmääräysten yhdenmukaistamiseksi ja kyberturvallisuusvalmiuksien kehittämiseksi globaalin eteläisen alueen kyberturvallisuuden edistämisaloitteen kautta.
Lue koko raportista käytännön ohjeita ja lisätietoja siitä, miten jatkamme hallintomallimme laajentamista vastaamaan muuttuvaa uhkakuvaa ja lisääntyvää sääntelyn monimutkaisuutta.
"Uskomme vakaasti, että vastuullista ohjelmaa ei voi olla, jos yrityskulttuuri ei ole yhdenmukainen, eikä mitattavaa ohjelmaa voi olla, jos hallinto ei ole yhdenmukainen."
Ann Johnson
CVP & Deputy CISO, Customer Security Management Office
Tietoturvaperiaatteet

Turvalliseksi suunniteltu, Oletusarvoisesti suojattu ja Suojatut toiminnot

Kolmen tietoturvaperiaatteen – Turvalliseksi suunniteltu, Oletusarvoisesti suojattu ja Suojatut toiminnot – ohjaamina Microsoftin tiimit jatkavat innovaatioiden kehittämistä asiakkaiden ja Microsoftin suojelemiseksi.
  • Otettiin käyttöön pakolliset turvalliset oletusasetukset, laajennettiin laitteistopohjaista luottamusta ja päivitettiin tietoturvan vertailuarvot pilvipalvelujen tietoturvan parantamiseksi.
    • Monimenetelmäinen todentaminen on nyt pakollinen kaikille Azure-käyttäjille, mikä vähentää salasanoihin liittyvien hyökkäysten riskiä. Lisäksi Azure Bastion -kehittäjä tarjoaa nyt oletuksena suojatun yhteyden näennäiskoneisiin 35 alueella.
    • Microsoft Cloud Security Benchmarkin (MCSB) versio 2 tarjoaa asiakkaille päivitetyt suojauksen perustason ohjeet, jotka voidaan toteuttaa Microsoft Defender for Cloudin avulla.
    • Azure Local lisäsi suojauksen oletusasetusten määrää 25 % (400 asetusta). Tämä yksinkertaistaa asiakkaiden’ kykyä noudattaa alan standardeja sekä suojaa Azuren paikallisia solmuja entistä paremmin lisäuhkilta, kuten tiedostottomilta haittaohjelmilta.
  • Jaamme parhaita käytäntöjä ja toteutusohjeita, jotka perustuvat Zero Trust -suojausmalliin, auttaaksemme asiakkaita vähentämään riskejään.
Takaisin välilehtiin
Teknisen toteutuksen peruspilarit

Kuusi SFI-pilaria sisältävät tavoitteita ja toimintoja, jotka määrittävät lähestymistapamme tietoturvaan

28 tavoitteesta viisi on lähes saavutettu, 12 on edistynyt merkittävästi, ja jatkamme edistymistä muiden osalta. SFI:n ansiosta olemme parantaneet alustan ja palveluiden turvallisuutta sekä kykyämme havaita ja reagoida uhkiin.
  • Olemme parantaneet tunnistautumisen turvallisuutta Microsoftin palveluissa ja asiakkaille.
    • 95 % Microsoft Entra ID:tä käyttävistä näennäiskoneista siirrettiin Azuren luottamuksellisiin käsittelytoimintoihin.
    • 94,3 % Microsoft Entra ID:n suojaustunnuksen vahvistuksesta siirrettiin käyttäjätietojen standardin mukaiseen ohjelmistokehityspakettiimme (SDK).
    • Otettiin käyttöön tietojenkalastelulta suojaava monimenetelmäinen todentaminen 99,6 %:lle Microsoftin työntekijöistä ja laitteista.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
  • Jatkamme eristämisen lisäämistä ja sivuttaisliikkeen riskin vähentämistä.
    • Active Directory -liittoutumispalveluiden (ADFS) käyttö lopetettiin tuottavuusympäristössämme.
    • 98 % Azure Service Managerin (ASM) hallinnoimista pilviresursseista siirrettiin Azure Resource Manageriin (ARM).
    • Poistettiin käytöstä 560 000 ylimääräistä käyttämätöntä ja vanhentunutta vuokraajaa sekä 83 000 käyttämätöntä Entra ID -sovellusta Microsoftin tuotanto- ja tuottavuusympäristöissä.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
  • Edistys on parantanut verkkoturvallisuutta ja tuonut uusia ominaisuuksia asiakkaille.
    • Saavutimme täydellisen verkkolaitteiden inventaarion ja kehittyneen omaisuuden elinkaaren hallinnan.
    • Vahvistimme tietoturvaa parannetun eristyksen ja suojaustoimien avulla.
    • Network Security Perimeterin (NSP) käyttöönottoa nopeutettiin: yli 1,1 miljoonaa resurssia on oppimistilassa ja noin 500 000 valvotussa tilassa.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
  • Olemme parantaneet koodien luomiseen, testaamiseen ja käyttöönottoon käytettyjen järjestelmien tietoturvaa.

    • Koodin allekirjoitus on nyt lähes kokonaan lukittu tuotannon käyttäjätiedoille, ja koodissa havaitut salaisuudet korjataan jatkuvasti.
    • Lähes täydellinen ohjelmistoresurssien inventaario mahdollistaa nopean reagoinnin ja yleisen käytännön noudattamisen.
    • Laajensimme Oletusarvoisesti suojattu -jaksoja ja verkkojen eristystä: lähes kaikki tuotantokokoonpanot ja 94 % julkaisujaksoista käyttävät hallittuja malleja.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
  • Edistämme uhkien havaitsemista, nopeaa reagointia ja yhtenäisiä suojaustoimia.
    • 98 % tuotantoinfrastruktuurista on keskitetysti seurattua, ja lokit säilytetään kaksi vuotta.
    • Microsoftin infrastruktuuriin on otettu käyttöön yli 50 uutta tunnistusta, jotka kohdistuvat ensisijaisiin taktiikoihin, tekniikoihin ja menettelyihin (TTP) – soveltuvat tunnistukset integroidaan Microsoft Defender -palveluun.
    • Tekoälyn integrointi nopeuttaa havaitsemisen elinkaaren parannuksia – tunnistamisesta tehokkuuden varmistukseen.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
  • Nopeutamme haavoittuvuuksien tunnistamista, luokittelua ja korjaamista.
    • Tekoälypohjainen haavoittuvuuksien luokittelu auttoi saavuttamaan 72 %:n onnistumisprosentin haavoittuvuuksien korjaamisessa ja nopeuttamaan korjaamista, vaikka määrä ja laajuus kasvoivat.
    • Nopeutetut käyttöönottoprosessit ovat vauhdittaneet haavoittuvuuksien korjaamista.
    • Microsoft julkaisi 1 096 yleistä haavoittuvuutta ja tietoturva-aukkoa (CVE), mukaan lukien 53 toimia vaativaa pilvipalvelujen haavoittuvuutta ja tietoturva-aukkoa, ja maksoi 17 miljoonaa Yhdysvaltain dollaria palkkioina, mikä osoittaa lisääntynyttä läpinäkyvyyttä ja ulkoista yhteistyötä.

    Lue lisää, mukaan lukien linkit käytännön ohjeisiin, koko raportista.
KÄYTÄNNÖN OHJEISTUS

Ota opitut asiat käyttöön

Tässä raportissa korostamme kymmentä mallia ja käytäntöä, joita asiakkaat voivat noudattaa riskin vähentämiseksi priorisoiduilla alueilla, ja jaamme muita käytäntöjä ja ohjeita kullekin alueelle ja pilarille.
Lataa raportti saadaksesi lisää ohjeita
Resurssit

Tutustu Secure Future Initiative -resursseihin

  1.
SFI-tilanneraportti

Kuule johtajiltamme

Lue, mitä Charlie Bell sanoo marraskuun 2025 SFI-tilanneraportista.
Lue blogia
Nainen näyttää kannettavan tietokoneen näyttöä miehelle.
Mallit ja käytännöt

Microsoft Secure Future Initiative – mallit ja käytännöt

Vahvista organisaatiosi turvallisuutta ohjeilla, jotka perustuvat todistettuihin turvallisuusarkkitehtuureihin ja parhaisiin käytäntöihin.
Lue lisää
Secure Future Initiative

Liity Microsoftin sitoutumiseen turvallisuuteen

Kehitä organisaatiosi teknologiaa ja toimintaa korkeimpien tietoturvastandardien mukaisiksi.
Lue lisää SFI:stä
SFI-tilanneraportti

Huhtikuu 2025: tutustu edistymiseemme

Lue huhtikuun 2025 SFI-raportti nähdäksesi, millainen alkutilanne oli ja kuinka pitkälle olemme tulleet.
Lue huhtikuun 2025 raportti
Takaisin karusellin siirtymisohjausobjekteihin

Seuraa Microsoftia