Poročilo o napredku Pobude za varno prihodnost iz novembra 2025

V našem tretjem poročilu o napredku delimo posodobitve za vsako področje in inženirski steber, predstavljamo preslikavo na NIST Cybersecurity Framework, da pomagamo strankam razumeti napredek, dosežen z uporabo priznanega industrijskega okvira, in izpostavljamo nove varnostne zmogljivosti, ki smo jih zagotovili strankam. Delimo tudi najboljše prakse in smernice za izvajanje, usklajene z načeli modela Ničelno zaupanje, da pomagamo strankam zmanjšati tveganje.

Še naprej spodbujamo kulturo, ki postavlja varnost na prvo mesto, v celotni organizaciji.

95 % zaposlenih je že opravilo najnovejše varnostno usposabljanje o varovanju pred napadi, ki uporabljajo UI, dodeljeno julija 2025, ki je še vedno eden naših najbolje ocenjenih tečajev.
Mnenje inženirjev glede varnosti se je od februarja 2024 povečalo za 9 točk.
Z namenom utrjevanja miselnosti, ki varnost postavlja na prvo mesto, doma in na delovnem mestu smo razvili vire za zaposlene in jih prvič ponudili tudi strankam, da bi izboljšali ozaveščenost o varnosti.

Pridobite uporabno usmeritev in preberite več o tem, kako je varnost vtkana v naše delo, vodenje in merjenje vpliva v celotnem poročilu.

"Varnost smo določili kot osrednjo prioriteto vsakega zaposlenega v podjetju Microsoft, ne le za varnostno ekipo.«

Vasu Jakkal
CVP, Microsoftova varnost

Še naprej širimo naš model upravljanja za obvladovanje spreminjajočih se groženj in večje regulativne zapletenosti.

Razširili smo obseg Sveta za upravljanje kibernetske varnosti tako, da vključuje 3 dodatne funkcije namestnikov vodij informacijske varnosti:
- Dobavna veriga in tretje osebe
- Poslovne funkcije, trženje in finance
- Skladnost z zakonodajo EU o kibernetski varnosti
Ustanovili smo Microsoftov evropski varnostni program za poglobitev partnerstev in boljše obveščanje evropskih vlad o grožnjah. Še naprej smo aktivno sodelovali v strokovni skupini za zakon o kibernetski odpornosti Evropske unije.
Aktivno smo sodelovali z industrijskimi partnerji za boljše usklajevanje obstoječih in prihodnjih predpisov o kibernetski varnosti ter ustvarjanje zmogljivosti na področju kibernetske varnosti prek Pobude za izboljšanje regionalne kibernetske varnosti na globalnem jugu.

Pridobite uporabne smernice in preberite več o tem, kako še naprej širimo naš model upravljanja za obvladovanje spreminjajočih se groženj in večje regulativne zapletenosti v celotnem poročilu.

"Resnično verjamemo, da trajnostnega programa ni mogoče uvesti, če kultura ni usklajena, in zagotovo ni mogoče imeti merljivega programa, če upravljanje ni usklajeno.«

Ann Johnson
CVP & namestnica vodje informacijske varnosti, služba za upravljanje varnosti strank

Varnostna načela

Vgrajena varnost, privzeta varnost in varni postopki

Ekipe v celotnem podjetju Microsoft še naprej uvajajo inovacije za zaščito strank in podjetja Microsoft, pri čemer jih vodijo tri varnostna načela – vgrajena varnost, privzeta varnost in varni postopki.

Uvedli smo obvezne varne privzete nastavitve, razširili zaupanje na osnovi strojne opreme in posodobili varnostne standarde za izboljšanje varnosti v oblaku.

Preberite več o platformi Azure v celotnem poročilu
Večkratno preverjanje pristnosti je zdaj obvezno za vse uporabnike storitve Azure, kar zmanjšuje tveganje napadov, povezanih z gesli. Poleg tega Azure Bastion Developer zdaj ponuja privzeto varno povezljivost z navideznimi računalniki v 35 regijah.
Druga različica Microsoft Cloud Security Benchmark (MCSB) strankam zagotavlja posodobljene smernice za osnovno varnost, ki jih je mogoče uvesti z rešitvijo Microsoft Defender for Cloud.
Rešitev Azure Local je povečala število privzetih varnostnih nastavitev za 25 % (400 nastavitev). To še dodatno poenostavlja možnost strank, da zagotavljajo skladnost z industrijskimi standardi, in bolje ščiti vozlišča Azure Local pred dodatnimi grožnjami, kot je zlonamerna programska oprema brez datotek.
Preberite več o platformi Azure v celotnem poročilu
Nudimo tudi najboljše prakse in smernice za izvajanje, usklajene z načeli modela Ničelno zaupanje, da pomagamo strankam zmanjšati tveganje.

Pridobite povezave do uporabnih navodil

Inženirski stebri

Šest stebrov pobude za varno prihodnost vključuje cilje in ukrepe, ki določajo naš pristop k varnosti

Od 28 ciljev je 5 skoraj dokončanih, pri 12 je dosežen znaten napredek, napredujemo pa tudi pri preostalih. Kot rezultat Pobude za varno prihodnost smo izboljšali varnost na naši platformi in v storitvah ter sposobnost zaznavanja groženj in odzivanja nanje.

Izboljšali smo varnost identitete za Microsoftove storitve in stranke.
Preselili smo 95 % navideznih računalnikov za podpisovanje Microsoft Entra ID v Azure Confidential Compute.
Premaknili smo 94,3 % preverjanja varnostnih žetonov Microsoft Entra ID v naš standardni komplet za razvoj programske opreme (SDK) za identiteto.
Uveljavili smo večkratno preverjanje pristnosti, odporno na lažno predstavljanje, 99,6 % zaposlenih in naprav podjetja Microsoft.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.
Še naprej izboljšujemo osamitev in zmanjšujemo tveganje lateralnega premikanja.
Opustili smo uporabo storitve ADFS v našem okolju za storilnost.
Preselili smo 98 % sredstev v oblaku, ki jih upravlja Azure Service Manager (ASM), v Azure Resource Manager (ARM).
Odstranili smo dodatnih 560.000 neuporabljenih in zastarelih najemnikov ter 83.000 neuporabljenih aplikacij Entra ID v Microsoftovih okoljih za proizvodnjo in storilnost.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.
Z napredkom smo izboljšali varnost omrežja in strankam zagotovili nove zmogljivosti.
Dosegli smo popoln inventar omrežnih naprav in zrelo upravljanje življenjskega cikla sredstev.
Okrepili smo varnost z izboljšano osamitvijo in zaščitnimi ukrepi.
Pospešili smo uvedbo omrežnega varnostnega območja (NSP) z več kot 1,1 milijona virov v načinu učenja in približno 500.000 v uveljavljenem načinu.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.
Izboljšali smo varnost sistemov, ki jih uporabljamo za ustvarjanje, testiranje in uvajanje kode.

Podpisovanje kode je zdaj skoraj v celoti omejeno na proizvodne identitete, skrivnosti, odkrite v kodi, pa se neprestano popravljajo.
Skoraj popoln inventar programske opreme omogoča hiter odziv na dogodek in univerzalno uveljavljanje pravilnikov.
Razširili smo privzeto varne cevovode in osamitev omrežja, skoraj vse proizvodne graditve in 94 % izdajnih cevovodov pa uporabljajo upravljane predloge.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.
Napredujemo pri lovu na grožnje, hitrem odzivu na dogodke in poenotenih varnostnih nadzorih.
98 % proizvodne infrastrukture je centralno spremljane, dnevniki pa se hranijo 2 leti.
V Microsoft Defender bo integriranih več kot 50 novih zaznav, uvedenih v Microsoftovi infrastrukturi, ki se osredotočajo na prioritetne postopke, tehnike in postopke.
Integracija umetne inteligence pospešuje izboljšave življenjskega cikla zaznave – od identifikacije do preverjanja učinkovitosti.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.
Povečujemo hitrost prepoznavanja, razvrščanja in reševanja ranljivosti.
Razvrščanje ranljivosti, ki temeljijo na UI, je prispevalo k 72-odstotni uspešnosti pri odpravljanju ranljivosti v skrajšanem času za ublažitev, kljub naraščajoči količini in obsegu.
Hitrejši postopki uvajanja so pospešili ublažitev ranljivosti.
Microsoft je objavil 1.096 CVE-jev, vključno s 53 CVE-ji brez ukrepov v oblaku, in izplačal nagrade v vrednosti 17 milijonov USD, kar kaže na večjo preglednost in zunanje sodelovanje.

Več informacij, vključno s povezavami do uporabnih navodil, najdete v celotnem poročilu.

UPORABNA NAVODILA

Uporabite, kar smo se naučili

V tem poročilu izpostavljamo 10 vzorcev in praks, ki jih lahko stranke upoštevajo za zmanjšanje tveganj na prednostnih področjih, ter delimo dodatne najboljše prakse in navodila za vsako področje in steber.

Prenesite poročilo za več navodil