דוח התקדמות SFI נובמבר 2025 | מרכז יחסי האמון של Microsoft

בדוח ההתקדמות השלישי שלנו אנו משתפים עדכונים בכל תחום ועמוד תווך הנדסי, מציגים מיפוי למסגרת הסייבר של NIST כדי לסייע ללקוחות להבין את ההתקדמות שנעשתה לפי מסגרת מוכרת בתעשייה, ומדגישים יכולות אבטחה חדשות שסופקו ללקוחות. אנחנו גם משתפים שיטות עבודה מומלצות והנחיות ליישום, המותאמות לעקרונות אפס אמון, כדי לעזור ללקוחות להפחית את הסיכון שלהם.

אנחנו ממשיכים לטפח תרבות שמעמידה את האבטחה בראש בכל הארגון.

95% מהעובדים כבר השלימו את ההכשרה האחרונה באבטחה שהוקצתה ביולי 2025 בנושא הגנה מפני התקפות מבוססות בינה מלאכותית, שהיא אחד הקורסים המדורגים ביותר שלנו.
התחושה בקרב מהנדסים לגבי אבטחה עלתה ב- 9 נקודות מאז פברואר 2024.
כדי לחזק חשיבה שמעמידה את האבטחה בראש סדר העדיפויות בעבודה ובבית, פיתחנו משאבים לעובדים והפכנו אותם לזמינים ללקוחות לראשונה, כדי לשפר את המודעות לאבטחה.

קבל הנחיות מעשיות וקרא עוד על האופן שבו האבטחה מוטמעת בדרך שבה אנו עובדים, מובילים ומודדים השפעה בדוח המלא.

"הפכנו את האבטחה לעדיפות מרכזית עבור כל עובד ועובדת ב- Microsoft, לא רק עבור צוות האבטחה.”

וואסו ג'קל
CVP, האבטחה של Microsoft

אנחנו ממשיכים להרחיב את מודל הפיקוח שלנו כדי להתמודד עם נוף האיומים המשתנה והמורכבות הרגולטורית הגוברת.

הרחבנו את תחום האחריות של מועצת פיקוח אבטחת הסייבר כך שיכלול שלוש פונקציות נוספות של סגן מנהל אבטחת מידע (CISO):
- שרשרת אספקה וצד שלישי
- פונקציות עסקיות, שיווק וכספים
- עמידה בחקיקת סייבר של האיחוד האירופי
יצר את תוכנית האבטחה האירופית של Microsoft כדי להעמיק שותפויות ולספק מידע טוב יותר לממשלות באירופה על נוף האיומים. המשכנו מעורבות פעילה בקבוצת המומחים של חוק החוסן הסייבר של האיחוד האירופי.
שיתפנו פעולה באופן פעיל עם שותפים בתעשייה כדי ליישר טוב יותר את הרגולציות הקיימות והעתידיות בתחום אבטחת הסייבר ולבנות יכולות אבטחה דרך יוזמת קידום אבטחת סייבר אזורית בדרום הגלובלי.

קבל הנחיות מעשיות וקרא עוד על האופן שבו אנו ממשיכים להרחיב את מודל הפיקוח שלנו כדי להתמודד עם נוף האיומים המשתנה והמורכבות הרגולטורית הגוברת בדוח המלא.

"אנחנו באמת מאמינים שלא ניתן להחזיק בתוכנית בת-קיימא אם התרבות לא מתואמת, ובוודאי שלא ניתן להחזיק בתוכנית מדידה אם הפיקוח לא מתואם.”

אן ג'ונסון
CVP & סגן CISO, משרד ניהול אבטחת לקוחות

עקרונות אבטחה

אבטחה משלב התכנון, אבטחה כברירת מחדל ופעילות מאובטחת

בהנחיית שלושה עקרונות אבטחה – מאובטח בעיצוב, מאובטח כברירת מחדל, ותפעול מאובטח – צוותים ברחבי Microsoft ממשיכים לספק חידושים כדי להגן על הלקוחות ועל Microsoft.

הכניסה ברירות מחדל מאובטחות כחובה, הרחיבה את השימוש באמון מבוסס חומרה ועדכנה מדדי אבטחה כדי לסייע בשיפור אבטחת הענן.

קרא עוד על Azure בדוח המלא
אימות רב-שלבי (MFA) הוא כעת חובה לכל משתמשי Azure, מה שמפחית את הסיכון להתקפות הקשורות בסיסמאות. בנוסף, Azure Bastion Developer מציע כעת חיבור מאובטח כברירת מחדל למחשבים וירטואליים ב- 35 אזורים.
גרסה 2 של מדד האבטחה בענן של Microsoft (MCSB) מספקת ללקוחות הנחיות מעודכנות לבסיס אבטחה, שניתן ליישם באמצעות Microsoft Defender לענן.
Azure Local הגדיל את מספר הגדרות ברירת המחדל לאבטחה ב- 25% (400 הגדרות). זה מפשט עוד יותר את היכולת של הלקוחות לעמוד בסטנדרטים בתעשייה ומגן טוב יותר על צמתים של Azure Local מפני איומים נוספים כמו תוכנות זדוניות ללא קבצים.
קרא עוד על Azure בדוח המלא
אנחנו גם מספקים שיטות עבודה מומלצות והנחיות ליישום, המותאמות לעקרונות אפס אמון, כדי לעזור ללקוחות להפחית את הסיכון שלהם.

קבל קישורים להנחיות מעשיות

עמודי התווך ההנדסיים

ששת עמודי התווך של SFI כוללים יעדים ופעולות שמגדירים את הגישה שלנו לאבטחה

מתוך 28 יעדים, 5 מתקרבים להשלמה, 12 עשו התקדמות משמעותית, ואנחנו ממשיכים להתקדם בשאר. כתוצאה מ- SFI שיפרנו את האבטחה בפלטפורמה ובשירותים שלנו, כמו גם את היכולת שלנו לזהות ולהגיב לאיומים.

שיפרנו את אבטחת הזהות עבור שירותי Microsoft והלקוחות.
העברנו 95% מווירטואליות החתימה של מזהה Microsoft Entra ל- Azure Confidential Compute.
העברנו 94.3% מאימות אסימוני האבטחה של מזהה Microsoft Entra ל- SDK הסטנדרטי שלנו לניהול זהויות.
אכפנו אימות רב-שלבי עמיד לדיוג ל- 99.6% מהעובדים והמכשירים של Microsoft.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.
אנחנו ממשיכים להגדיל את הבידוד ולהפחית את הסיכון לתנועה רוחבית.
הפסקנו להשתמש ב- Active Directory Federation Services (ADFS) בסביבת היעילות שלנו.
העברנו 98% מנכסי הענן המנוהלים על-ידי Azure Service Manager (ASM) ל- Azure Resource Manager (ARM).
ביטלה 560,000 דיירים נוספים שלא היו בשימוש והתיישנו, וכן 83,000 יישומי Entra ID לא פעילים, בכל סביבת הייצור והיעילות של Microsoft.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.
ההתקדמות שהושגה שיפרה את אבטחת הרשת וסיפקה יכולות חדשות ללקוחות.
השגנו מלאי מלא של מכשירי רשת וניהול מחזור חיים מתקדם לנכסים.
חיזקנו את האבטחה באמצעות בידוד משופר ובקרות הגנה.
האצת אימוץ Network Security Perimeter (NSP) עם יותר מ- 1.1 מיליון משאבים במצב למידה וכ- 500,000 במצב אכיפה.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.
שיפרנו את האבטחה של המערכות שבהן אנו משתמשים לבנייה, בדיקה ופריסה של קוד.

חתימת הקוד כמעט נעולה כעת לחלוטין לזהויות ייצור, וסודות שנתגלו בקוד מטופלים באופן רציף.
מלאי תוכנה כמעט מלא מאפשר תגובה מהירה לאירועים ואכיפת מדיניות אוניברסלית.
הרחיבה את השימוש בצינורות מאובטחים כברירת מחדל ובבידוד רשת, כאשר כמעט כל תהליכי הבנייה בייצור ו- 94% מצינורות ההפצה עושים שימוש בתבניות מנוהלות.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.
אנחנו מקדמים ציד איומים, תגובה מהירה לאירועים ובקרות אבטחה מאוחדות.
98% מתשתית הייצור מתועדת מרכזית, עם שמירת יומני רישום לשנתיים.
פרסמנו מעל 50 זיהויים חדשים בתשתית Microsoft, המתמקדים בטקטיקות, טכניקות ונהלים (TTPs) בעלי עדיפות גבוהה – זיהויים רלוונטיים ישולבו ב- Microsoft Defender.
שילוב בינה מלאכותית מאיץ שיפורים במחזור חיי הזיהוי – מהזיהוי ועד לאימות היעילות.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.
אנחנו מגדילים את מהירות הזיהוי, המיון והפתרון של פגיעויות.
מיון פגיעויות מבוסס בינה מלאכותית תרם לשיעור הצלחה של 72% בטיפול בפגיעויות בתוך הזמן המוקטן שלנו לצמצום סיכונים, למרות העלייה בכמות ובהיקף.
תהליכי פריסה מואצים האיצו את הפחתת הפגיעויות.
Microsoft פרסמה 1,096 פגיעויות וחשיפות נפוצות, כולל 53 פגיעויות וחשיפות נפוצות בענן שלא דרשו פעולה, ושילמה תגמולים בסך 17 מיליון דולר - מה שמעיד על שקיפות מוגברת ומעורבות חיצונית רחבה יותר.

קרא עוד, כולל קישורים להנחיות מעשיות, בדוח המלא.

הנחיות מעשיות

הטמע את מה שלמדנו בפועל

בדוח זה אנו מדגישים 10 דפוסים ושיטות עבודה שהלקוחות יכולים לאמץ כדי להפחית את הסיכון באזורים בעלי עדיפות ומשתפים שיטות עבודה והנחיות נוספות לכל אזור ועמוד תווך.

הורד את הדוח לקבלת הנחיות נוספות