Raportul privind progresul IVS pentru noiembrie 2025

În cel de-al treilea raport de progres, oferim actualizări pentru fiecare domeniu și pilon de inginerie, introducem maparea către NIST Cybersecurity Framework pentru a ajuta clienții să înțeleagă progresul realizat utilizând un cadru de activitate recunoscut și evidențiem noile capacități de securitate livrate clienților. De asemenea, oferim cele mai bune practici și ghiduri de implementare, aliniate principiilor Zero Trust, pentru a ajuta clienții să-și reducă riscurile.

Continuăm să promovăm o cultură care pune securitatea pe primul loc în întreaga organizație.

95% dintre angajați au finalizat deja cea mai recentă instruire de securitate atribuită în iulie 2025 privind tema Protecția împotriva atacurilor pe platformă de inteligență artificială, care rămâne unul dintre cursurile noastre cele mai bine cotate.
Sentimentul tehnologic legat de securitate a crescut cu 9 puncte față de februarie 2024.
Pentru a consolida o mentalitate orientată către securitate, atât la locul de muncă, cât și acasă, am elaborat o serie de resurse destinate angajaților și le-am pus la dispoziția clienților, pentru prima dată, cu scopul de a îmbunătăți nivelul de conștientizare în materie de securitate.

Obțineți recomandări practice și aflați mai multe despre modul în care securitatea este integrată în procesele noastre de lucru, în stilul nostru de conducere și în modul în care măsurăm impactul, consultând raportul complet.

"Securitate este o prioritate esențială pentru fiecare angajat Microsoft, nu doar pentru echipa de securitate.”

Vasu Jakkal
CVP, Microsoft Security

Continuăm să extindem modelul nostru de guvernanță pentru a aborda peisajul amenințărilor în evoluție și complexitatea crescută a reglementărilor.

A extins domeniul de aplicare al Consiliului de guvernanță a securității cibernetice, pentru a include 3 funcții CISO suplimentare de securitate cibernetică:
- Lanțul de aprovizionare și terți
- Funcții de business, marketing și finanțe
- Conformitatea cu legislația UE privind securitatea cibernetică
Am creat Programul European de Securitate Microsoft pentru a aprofunda parteneriatele și a informa mai bine guvernele europene în legătură cu peisajul amenințărilor. Am continuat implicarea activă în cadrul Grupului de experți pentru Legea privind Reziliența Cibernetică al Uniunii Europene.
Am colaborat activ cu partenerii din sectorul de activitate pentru a alinia mai bine reglementările existente și viitoare în domeniul securității cibernetice și pentru a dezvolta capacitatea de securitate cibernetică prin Promovarea Inițiativei Regionale de Securitate Cibernetică în Sudul Global.

Obțineți ghiduri practice și citiți mai multe despre modul în care continuăm să extindem modelul de guvernanță pentru a aborda peisajul amenințărilor în continuă dezvoltare și complexitatea crescută a reglementărilor în raportul complet.

"„Credem cu tărie că nu poți avea un program sustenabil dacă cultura ta nu este aliniată și, cu siguranță, nu poți avea un program măsurabil dacă guvernanța ta nu este aliniată.”

Ann Johnson
CVP & Deputat CISO, Biroul de gestionare a securității clienților

Principii de securitate

Securitate prin proiectare, Securitate implicită și Operațiuni securizate

Ghidate de trei principii de securitate: Securitate prin proiectare, Securitate implicită și Operațiuni securizate - echipele din cadrul Microsoft continuă să ofere inovații pentru a proteja clienții și Microsoft.

Am introdus setări implicite de securitate obligatorii, am extins nivelul de încredere bazat pe hardware și am actualizat reperele de securitate pentru a contribui la îmbunătățirea securității în cloud.

Citiți mai multe despre Azure în raportul complet
MFA este acum obligatoriu pentru toți utilizatorii Azure, reducând riscul atacurilor legate de parole. În plus, Azure Bastion Developer oferă acum conectivitate securizată implicită către mașinile virtuale din 35 de regiuni.
A 2-a versiune Microsoft Cloud Security Benchmark (MCSB) oferă clienților îndrumări actualizate privind nivelul de referință pentru securitate, care pot fi implementate utilizând Microsoft Defender for Cloud.
Azure Local a crescut numărul setărilor implicite de securitate cu 25% (400 de setări). Acest lucru simplifică și mai mult capacitatea clienților de a respecta standardele din sectorul de activitate și protejează mai bine nodurile Azure Local împotriva amenințărilor suplimentare, cum ar fi malware-ul fără fișiere.
Citiți mai multe despre Azure în raportul complet
Oferim cele mai bune practici și îndrumări de implementare, aliniate la principiile Zero Trust, pentru a ajuta clienții să își reducă riscurile.

Obțineți linkuri către instrucțiuni practice

Pilonii ingineriei

Cei șase piloni IVS includ obiective și acțiuni care definesc abordarea noastră față de securitate

Din 28 de obiective, 5 se apropie de finalizare, pentru 12 am făcut progrese semnificative și continuăm să facem progrese pentru toate celelalte. Ca urmare a IVS, am îmbunătățit securitatea în platforma și serviciile noastre, precum și capacitatea noastră de a detecta și a răspunde la amenințări.

Am îmbunătățit securitatea identității pentru serviciile și clienții Microsoft.
Am migrat 95% dintre mașinile virtuale de semnare Microsoft Entra ID către platforma Calcul Azure Confidențial.
Am mutat 94,3% din procesul de validare a tokenurilor de securitate Microsoft Entra ID către kitul nostru standard de dezvoltare software (SDK) pentru identitate.
Am impus autentificarea multifactor (MFA) rezistentă la phishing pentru 99,6% dintre angajații și dispozitivele Microsoft.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.
Continuăm să creștem izolarea și să reducem riscul de mișcare laterală.
Am retras utilizarea Active Directory Federation Services (ADFS) în mediul nostru de productivitate.
Am migrat 98% din activele cloud gestionate de Azure Service Manager (ASM) către Azure Resource Manager (ARM).
Am retras un număr suplimentar de 560.000 de entități găzduite neutilizate și învechite și 83.000 de aplicații Entra ID neutilizate din mediile de producție și productivitate Microsoft.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.
Progresele realizate au îmbunătățit securitatea rețelei și au oferit noi capacități pentru clienți.
Am realizat un inventar complet al dispozitivelor de rețea și un management matur al ciclului de viață al activelor.
Am consolidat securitatea prin izolare îmbunătățită și controale de protecție.
Am accelerat adoptarea Perimetrului de Securitate a Rețelei (NSP) cu peste 1,1 milioane de resurse în modul de învățare și aproximativ 500.000 în modul impus.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.
Am îmbunătățit securitatea sistemelor pe care le utilizăm pentru a crea, a testa și a implementa cod.

Semnarea codului este acum aproape în totalitate blocată pentru identitățile de producție, iar secretele detectate în cod sunt remediate continuu.
Inventarul aproape complet al activelor software permite un răspuns rapid la incidente și aplicarea universală a politicilor.
Am extins canalele securizate în mod implicit și izolarea rețelei, cu aproape toate compilările de producție și 94% din canalele de lansare utilizând șabloane guvernate.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.
Promovăm căutarea activă a amenințărilor cibernetice, răspunsul rapid la incidente și controalele de securitate unificate.
98% din infrastructura de producție este urmărită centralizat, cu jurnale păstrate timp de 2 ani.
Au fost implementate peste 50 de noi detectări în infrastructura Microsoft, vizând tactici, tehnici și proceduri (TTP) prioritare - detectările aplicabile vor fi integrate în Microsoft Defender.
Integrarea inteligenței artificiale accelerează îmbunătățirile ciclului de viață al detectării, de la identificare la validarea eficienței.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.
Creștem viteza de identificare, triere și rezolvare a vulnerabilităților.
Trierea vulnerabilităților bazată pe inteligența artificială a contribuit la o rată de succes de 72% la rezolvarea vulnerabilităților în timpul redus de atenuare, în pofida creșterii continue a volumului și a domeniului de aplicare.
Procesele accelerate de implementare au grăbit atenuarea vulnerabilităților.
Microsoft a publicat 1.096 de CVE-uri, inclusiv 53 de CVE-uri cloud pentru care nu au fost necesare acțiuni, și a acordat recompense în valoare de 17 milioane USD, demonstrând un nivel crescut de transparență și implicare externă.

Citiți mai multe, inclusiv linkuri către ghiduri practice, în raportul complet.

INSTRUCȚIUNI PRACTICE

Puneți în practică ceea ce am învățat

În acest raport evidențiem 10 modele și practici pe care clienții le pot urma pentru a-și reduce riscurile în zonele prioritare și oferim cele mai bune practici și îndrumări suplimentare pentru fiecare zonă și domeniu.

Descărcați raportul pentru mai multe instrucțiuni