Report sullo stato di avanzamento nell'ambito di SFI di novembre 2025

Nel nostro terzo report sullo stato di avanzamento, condividiamo aggiornamenti per ogni area e concetto ingegneristico, introduciamo la mappatura al NIST Cybersecurity Framework per aiutare i clienti a comprendere i progressi fatti utilizzando un framework riconosciuto nel settore e mettiamo in evidenza le nuove funzionalità di sicurezza offerte ai clienti. Condividiamo anche procedure consigliate e indicazioni pratiche per l'implementazione, allineate ai principi Zero Trust, per aiutare i clienti a ridurre il rischio.

Continuiamo a promuovere una cultura che mette la sicurezza al primo posto in tutta l'organizzazione.

Il 95% dei dipendenti ha già completato l'ultimo corso di formazione sulla sicurezza assegnato a luglio 2025 su come difendersi dagli attacchi basati su intelligenza artificiale, che rimane uno dei nostri corsi più apprezzati.
La valutazione tecnica relativa alla sicurezza è aumentata di 9 punti da febbraio 2024.
Per favorire una mentalità orientata alla sicurezza sia al lavoro che a casa, abbiamo sviluppato risorse per i dipendenti e le abbiamo rese disponibili per la prima volta anche ai clienti per migliorare la consapevolezza sulla sicurezza.

Ottieni indicazioni pratiche e leggi di più su come la sicurezza è integrata nel nostro modo di lavorare, guidare e misurare l'impatto nel report completo.

"Abbiamo fatto in modo che la sicurezza fosse una priorità fondamentale per ogni singolo dipendente di Microsoft, non solo per il team dedicato a essa."

Vasu Jakkal
CVP, Microsoft Security

Continuiamo a ottimizzare su scala globale il nostro modello di governance per affrontare il panorama delle minacce in evoluzione e la crescente complessità normativa.

Abbiamo ampliato l'ambito del Cybersecurity Governance Council includendo 3 funzioni aggiuntive di Vice CISO:
- Catena di approvvigionamento e terze parti
- Funzioni aziendali, marketing e finanza
- Conformità alla legislazione UE sulla cybersecurity
Abbiamo creato il Microsoft European Security Program per approfondire le partnership e fornire informazioni maggiori ai governi europei sul panorama delle minacce. Abbiamo rinnovato il nostro impegno attivo nel Gruppo di esperti nell'ambito del Cyber Resilience Act dell'Unione Europea.
Abbiamo collaborato attivamente con partner di settore per allineare meglio le normative esistenti e future sulla cybersecurity e per sviluppare capacità di cybersecurity attraverso l'Advancing Regional Cybersecurity Initiative nel Sud globale.

Ottieni indicazioni pratiche e leggi di più su come continuiamo a ottimizzare su scala globale il nostro modello di governance per affrontare il panorama delle minacce in evoluzione e la crescente complessità normativa nel report completo.

"Crediamo fermamente che non si possa avere un programma sostenibile se la cultura non è allineata e certamente non si può avere un programma misurabile se la governance non è allineata."

Ann Johnson
CVP & Vice CISO, Customer Security Management Office

Principi di sicurezza

Sicurezza fin dalla progettazione, Sicurezza per impostazione predefinita e Sicurezza operativa

Guidati da tre principi di sicurezza: Sicurezza fin dalla progettazione, Sicurezza per impostazione predefinita e Sicurezza operativa sicure, i team di Microsoft continuano a offrire innovazioni per proteggere clienti e Microsoft.

Abbiamo introdotto impostazioni predefinite di sicurezza obbligatorie, ampliato la fiducia basata sull'hardware e aggiornato i benchmark di sicurezza per migliorare la sicurezza del cloud.

Altre informazioni su Azure nel report completo
L'autenticazione a più fattori (MFA) è ora obbligatoria per tutti gli utenti Azure, riducendo il rischio di attacchi basati su password. Inoltre, Azure Bastion Developer ora offre connettività sicura per impostazione predefinita alle macchine virtuali in 35 aree geografiche.
La versione 2 del Microsoft Cloud Security Benchmark (MCSB) fornisce ai clienti linee guida aggiornate per la baseline di sicurezza, implementabili tramite Microsoft Defender per il cloud.
Azure Locale ha aumentato del 25% il numero di impostazioni di sicurezza predefinite (400 impostazioni). Questo semplifica ulteriormente la capacità dei clienti di conformarsi agli standard di settore e protegge meglio i nodi di Azure Locale da minacce aggiuntive come il malware senza file.
Altre informazioni su Azure nel report completo
Forniamo anche le procedure consigliate e le linee guida per l'implementazione, allineate ai principi Zero Trust, per aiutare i clienti a ridurre il rischio.

Ottieni collegamenti alle indicazioni pratiche

Pilasti dell'ingegneria

I sei concetti fondamentali SFI includono obiettivi e azioni che definiscono il nostro approccio alla sicurezza

Su 28 obiettivi, 5 sono quasi completati, 12 hanno fatto progressi significativi e continuiamo a progredire sugli altri. Grazie a SFI abbiamo migliorato la sicurezza della nostra piattaforma e dei servizi, oltre alla capacità di rilevare le minacce e rispondere a esse.

Abbiamo migliorato la sicurezza delle identità per i servizi e i clienti Microsoft.
Eseguita la migrazione del 95% delle VM di firma di Microsoft Entra ID ad Azure Confidential Compute.
Spostato il 94,3% della convalida dei token di sicurezza di Microsoft Entra ID al nostro Software Development Kit (SDK) standard per l'identità.
Applicata l'autenticazione a più fattori resistente al phishing per il 99,6% dei dipendenti e dei dispositivi Microsoft.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.
Continuiamo ad aumentare l'isolamento e a ridurre il rischio di movimenti laterali.
Interrotto l'uso di Active Directory Federation Services (ADFS) nel nostro ambiente di produttività.
Eseguita la migrazione del 98% delle risorse cloud gestite da Azure Service Manager (ASM) ad Azure Resource Manager (ARM).
Disattivati 560.000 tenant inutilizzati e obsoleti aggiuntivi e 83.000 app Entra ID inutilizzate negli ambienti di produzione e produttività Microsoft.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.
I progressi ottenuti hanno migliorato la sicurezza della rete e fornito nuove funzionalità ai clienti.
Completato l'inventario dei dispositivi di rete e maturata la gestione del ciclo di vita degli asset.
Rafforzata la sicurezza tramite un isolamento ottimizzato e controlli protettivi.
Accelerata l'adozione del perimetro di Sicurezza della rete (NSP) con oltre 1,1 milioni di risorse in modalità apprendimento e circa 500.000 in modalità applicata.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.
Abbiamo migliorato la sicurezza dei sistemi usati per creare, testare e distribuire codice.

La firma del codice è ora quasi interamente vincolata alle identità di produzione e i segreti rilevati nel codice vengono continuamente corretti.
Inventario quasi completo degli asset software che consente una risposta rapida agli incidenti e l'applicazione universale dei criteri.
Espanse le pipeline sicure per impostazione predefinita e l'isolamento di rete, con quasi tutte le build di produzione e il 94% delle pipeline di rilascio che utilizzano modelli governati.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.
Stiamo avanzando nella ricerca alle minacce, nella risposta rapida agli incidenti e nei controlli di sicurezza unificati.
Il 98% dell'infrastruttura di produzione è tracciato centralmente, con log conservati per 2 anni.
Oltre 50 nuovi rilevamenti distribuiti nell'infrastruttura Microsoft, che si rivolgono a tattiche, tecniche e procedure a priorità elevata; i rilevamenti applicabili saranno integrati in Microsoft Defender.
L'integrazione dell'IA accelera i miglioramenti del ciclo di vita delle rilevazioni, dall'identificazione alla convalida dell'efficacia.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.
Stiamo aumentando la velocità di identificazione, valutazione e risoluzione delle vulnerabilità.
La valutazione delle vulnerabilità basata su IA ha contribuito a un tasso di successo del 72% nell'affrontare le vulnerabilità entro il nostro tempo ridotto di mitigazione, nonostante l'aumento continuo di volume e ambito.
I processi di distribuzione accelerati hanno velocizzato la mitigazione delle vulnerabilità.
Microsoft ha pubblicato 1.096 CVE, inclusi 53 CVE cloud senza azioni e ha pagato 17 milioni di dollari in premi, dimostrando maggiore trasparenza e coinvolgimento esterno.

Nel report completo sono disponibili altre informazioni, inclusi collegamenti a indicazioni pratiche.

INDICAZIONI PRATICHE

Metti in pratica ciò che abbiamo imparato

In questo report mettiamo in evidenza 10 modelli e procedure che i clienti possono seguire per ridurre il rischio nelle aree prioritarie e condividiamo ulteriori procedure consigliate e indicazioni per ogni area e concetto.

Scarica il report per ulteriori indicazioni