Izvješće o napretku SFI-ja za studeni 2025.

U našem trećem izvješću o napretku podijelili smo novosti za svako područje i inženjerski stup, predstavili smo mapiranje za NIST Cybersecurity Framework kako bismo klijentima olakšali razumijevanje ostvarenog napretka upotrebom prihvaćenog okvira u djelatnosti i istaknuli smo nove sigurnosne mogućnosti koje pružamo klijentima. Podijelili smo i najbolje prakse i smjernice za implementaciju usklađene s načelima modela „svi su nepouzdani” kako bismo pomogli klijentima smanjiti rizik.

Nastavljamo njegovati kulturu u kojoj je sigurnost na prvom mjestu u cijeloj tvrtki ili ustanovi.

95 % zaposlenika već je dovršilo najnoviju sigurnosnu obuku dodijeljenu u srpnju 2025. Guarding Against AI-Powered Attacks, što je i dalje jedan od naših tečajeva s najvišom ocjenom.
Mišljenje inženjera o sigurnosti poboljšano je za 9 bodova od veljače 2024.
Da bismo potaknuli način razmišljanja usmjeren na sigurnost na poslu i kod kuće, razvili smo resurse za zaposlenike i omogućili klijentima njihovu upotrebu radi poboljšanja svijesti o sigurnosti.

Dohvatite primjenjive smjernice i pročitajte više o tome kako je sigurnost ugrađena u način na koji radimo, kakav primjer pružamo i kako mjerimo utjecaj u potpunom izvješću.

"Sigurnost je glavni prioritet svakog zaposlenika u Microsoftu, ne samo tima za sigurnost.”

Vasu Jakkal
CVP, Microsoft Security

Nastavljamo prilagođavati model upravljanja za odgovaranje na sve naprednije okruženje prijetnji i povećanu regulatornu složenost.

Proširen je opseg tijela Cybersecurity Governance Council na tri dodatne funkcije zamjenika CISO-a:
- Lanac opskrbe i treće strane
- Poslovne funkcije, marketing i financije
- Usklađenost sa zakonodavstvom EU-a o računalnoj sigurnosti
Osmišljen je Microsoftov program European Security Program radi produbljivanja partnerstava i boljeg informiranja europskih vlada o okruženju prijetnji. Nastavili smo aktivno sudjelovati u stručnoj skupini za Akt o kibernetičkoj otpornosti Europske unije.
Aktivno smo surađivali s partnerima u djelatnosti radi boljeg usklađivanja postojećih i budućih propisa o računalnoj sigurnosti, kao i izgradnje kapaciteta računalne sigurnosti putem inicijative Advancing Regional Cybersecurity Initiative u zemljama Globalnog juga.

Dohvatite primjenjive smjernice i pročitajte više o tome kako nastavljamo prilagođavati model upravljanja za odgovaranje na sve naprednije okruženje prijetnji i povećanu regulatornu složenost u potpunom izvješću.

"Zaista vjerujemo da ne postoji održiv program bez usklađene kulture, a mjerljiv program sasvim sigurno ne postoji bez usklađenog upravljanja.”

Ann Johnson
CVP i zamjenica CISO-a, Ured za upravljanje sigurnošću klijenata

Sigurnosna načela

Dizajnirano sigurno, zadano sigurno i sigurne operacije

Vođeni trima sigurnosnim načelima – dizajnirano sigurno, zadano sigurno i sigurne operacije – timovi u Microsoftu nastavljaju pružati inovacije koje pomažu u zaštiti klijenata i Microsofta.

Uveli smo obavezne sigurne zadane postavke, proširili smo hardversku pouzdanost i ažurirali smo sigurnosne standarde kako bismo poboljšali sigurnost u oblaku.

Pročitajte više o platformi Azure u potpunom izvješću
Višestruka provjera autentičnosti sada je obavezna za sve korisnike platforme Azure, čime se smanjuje rizik napada povezanih s lozinkom. Osim toga, rješenje Azure Bastion Developer sada omogućuje sigurno povezivanje s virtualnim računalima po zadanom u 35 regija.
Verzija 2 standarda za sigurnost platforme Microsoft Cloud (MCSB-a) pruža klijentima ažurirane smjernice polazišta za sigurnost, koje se mogu implementirati pomoću servisa Microsoft Defender for Cloud.
Rješenjem Azure Local povećan je broj zadanih sigurnosnih postavki za 25 % (400 postavki). Time se korisnicima dodatno olakšava usklađivanje sa standardima djelatnosti i bolje se štite čvorovi rješenja Azure Local od dodatnih prijetnji kao što je zlonamjerni softver bez datoteka.
Pročitajte više o platformi Azure u potpunom izvješću
Pružamo najbolje prakse i smjernice za implementaciju, usklađene s načelima modela „svi su nepouzdani” kako bismo pomogli klijentima smanjiti rizik.

Dohvatite veze na primjenjive smjernice

Inženjerski stupovi

Šest stupova SFI-ja obuhvaća ciljeve i radnje koje definiraju naš pristup sigurnosti

Od 28 ciljeva, 5 je blizu dovršavanja, za 12 je ostvaren značajan napredak, a u području ostalih nastavljamo s napretkom. Kao rezultat Inicijative za sigurnu budućnost poboljšali smo sigurnost na našoj platformi i servisima, kao i sposobnost otkrivanja i odgovora na prijetnje.

Poboljšali smo sigurnost identiteta za Microsoftove servise i klijente.
Migrirano je 95 % virtualnih računala za potpisivanje servisa Microsoft Entra ID na Azure Confidential Compute.
Premješteno je 94,3 % provjera valjanosti sigurnosnih tokena servisa Microsoft Entra ID u naš standardni paket za razvojne programere (SDK) za identitet.
Provedena je višestruka provjera autentičnosti otporna na krađu identiteta za 99,6 % Microsoftovih zaposlenika i uređaja.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.
Nastavljamo poboljšavati izolaciju i smanjivati rizik lateralnog kretanja.
Obustavljena je upotreba komponente Active Directory Federation Services (ADFS) u produkcijskom okruženju.
Migrirano je 98 % resursa u oblaku kojima upravlja Azure Service Manager (ASM) na Azure Resource Manager (ARM).
Deaktivirano je 560 000 dodatnih neupotrebljavanih i zastarjelih klijenata i 83 000 neupotrebljavanih aplikacija servisa Entra ID u Microsoftovim radnim i produkcijskim okruženjima.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.
Ostvaren napredak poboljšao je sigurnost mreže i otvorio nove mogućnosti za klijente.
Ostvaren je potpun inventar mrežnih uređaja i zrelo upravljanje životnim ciklusom resursa.
Povećana je sigurnost poboljšanom izolacijom i zaštitnim kontrolama.
Ubrzano je prihvaćanje sigurnosnog opsega mreže (NSP-a) s više od 1,1 milijun resursa u načinu učenja i približno 500 000 u načinu provođenja.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.
Poboljšali smo sigurnost sustava koje upotrebljavamo za stvaranje, testiranje i implementaciju koda.

Potpisivanje kodova sada je gotovo u potpunosti zaključano na radne identitete, a tajne otkrivene u kodu kontinuirano se otklanjaju.
Gotovo potpun inventar softverskih resursa omogućuje brzi odgovor na incidente i provođenje univerzalnog pravilnika.
Prošireni kanali sigurni po zadanom i izolacija mreže s gotovo svim radnim međuverzijama i 94 % kanala izdanja pomoću upravljanih predložaka.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.
Radimo na poboljšanju lociranja prijetnji, brzog odgovora na incidente i objedinjenih sigurnosnih kontrola.
98 % radne infrastrukture prati se centralno, a zapisnici se zadržavaju dvije godine.
Više od 50 novih otkrivanja implementirano u Microsoftovu infrastrukturu, usmjereno na visoko prioritetne taktike, tehnike i postupke (TTP-ove) – primjenjiva otkrivanja integrirat će se u Microsoft Defender.
Integracija umjetne inteligencije ubrzava poboljšanja životnog ciklusa otkrivanja – od identifikacije do provjere valjanosti učinkovitosti.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.
Povećavamo brzinu identifikacije, određivanja prioriteta i rješavanja ranjivosti.
Određivanje prioriteta ranjivosti na temelju AI-ja pridonijelo je stopi uspjeha od 72 % rješavajući ranjivosti unutar smanjenog vremena za ublažavanje, unatoč trajnom povećanju količine i opsega.
Ubrzani procesi implementacije imaju ubrzano ublažavanje ranjivosti.
Microsoft je objavio 1096 CVE-ova, uključujući 53 CVE-a u oblaku bez radnji i isplatio 17 milijuna USD u nagradama, što pokazuje povećanu transparentnost i vanjski angažman.

Pročitajte više, uključujući veze na primjenjive smjernice, u potpunom izvješću.

PRIMJENJIVE SMJERNICE

Primjena naučenog

U ovom izvješću istaknuli smo 10 obrazaca i praksi koje klijenti mogu slijediti kako bi smanjili rizik u prioritetnim područjima i podijelili smo dodatne najbolje prakse i smjernice za svako područje i stup.

Preuzmite izvješće za više smjernica