在第三份进展报告中,我们分享了各个领域和工程支柱的最新动态,介绍了与 NIST 网络安全框架的映射关系(助力客户通过公认的行业框架了解进展),并重点说明向客户提供的新安全功能。我们还分享了符合零信任原则的最佳做法和实施指南,帮助客户降低风险。
安全未来计划
2025 年 11 月 SFI 进展报告
Microsoft 安全未来计划 (SFI) 是一项持续承诺,旨在革新我们设计、构建、测试和运营产品及服务的方式,以达到最高安全标准。
我们持续在整个组织内营造“安全优先”的文化。
- 95% 的员工已完成 2025 年 7 月分配的最新安全培训“防范 AI 驱动的攻击”,该培训仍是我们评分最高的课程之一。
- 自 2024 年 2 月以来,工程团队对安全的认可度提升了 9 个百分点。
- 为强化工作和家庭中的安全优先思维,我们为员工开发了相关资源,并首次向客户开放,以提高安全意识。
"我们已将安全列为 Microsoft 每位员工的核心优先事项,而不仅仅是安全团队的责任。”
Vasu Jakkal
CVP,Microsoft 安全
CVP,Microsoft 安全
我们持续扩展治理模型,以应对不断演变的威胁态势和日益复杂的监管要求。
- 扩大网络安全治理委员会的范围,新增 3 个副首席信息安全官 (CISO) 职能:
- 供应链与第三方
- 业务职能、市场营销与财务
- 欧盟网络安全法规合规
- 制定 Microsoft 欧洲安全计划,以深化合作关系,并向欧洲各国政府更好地通报威胁态势。持续积极参与欧盟网络弹性法案专家组的工作。
- 通过全球南方区域网络安全推进计划,与行业合作伙伴积极协作,更好地协调现有和未来的网络安全法规,并建设网络安全能力。
"我们坚信,如果文化不一致,就无法实现可持续的计划;如果治理不协调,就必然无法实现可衡量的计划。”
Ann Johnson
CVP 兼副 CISO,客户安全管理办公室
CVP 兼副 CISO,客户安全管理办公室
安全原则
安全设计、安全默认和安全运营
在“设计安全”、“默认安全”和“运营安全”三大安全原则的指导下,Microsoft 各团队持续推出创新成果,助力保护客户和 Microsoft 自身。
- 引入强制安全默认设置,扩展基于硬件的信任,并更新安全基准,助力提升云安全。
-
- MFA 现已成为所有 Azure 用户的强制要求,降低与密码相关的攻击风险。此外,Azure Bastion Developer 现已在 35 个区域提供默认安全的虚拟机连接功能。
- Microsoft 云安全基准 (MCSB) 第 2 版为客户提供更新后的安全基准指南,可通过 Microsoft Defender for Cloud 实施。
- Azure Local 将安全默认设置数量增加了 25%(共 400 项设置)。这进一步简化了客户遵守行业标准的流程,并更好地保护 Azure Local 节点免受无文件恶意软件等额外威胁的影响。
- 我们提供符合零信任原则的最佳做法和实施指南,帮助客户降低风险。
- 引入专门的 AI 角色,加强智能体生命周期治理,并提高数据安全透明度,让组织拥有更多控制权和可见性。
-
- 专门的 AI 管理员角色支持对 Copilot 和其他新兴 AI 功能进行更安全、最小权限的管理,无需广泛的管理员访问权限。
- 集中控制通过让管理员能够批准、限制和审核 Microsoft 365 中的智能体,同时监视访问和使用情况,增强智能体生命周期治理,确保更安全、合规的运营。
- 借助 Microsoft Purview 数据安全状况管理 (DSPM) 的 Copilot Web 搜索透明度功能,可对外部数据来源风险进行提示级审核和调查。
- 我们提供符合零信任原则的最佳做法和实施指南,帮助客户降低风险。
- 引入自动恢复功能,扩展密码和 Windows Hello 支持,并提升固件和驱动程序中的内存安全性。这些更新有助于强化零信任原则,提升安全性和弹性。
-
- 快速计算机恢复功能通过安全的云连接恢复环境自动检测并修复启动故障,提供内置弹性。
- Windows Hello 现在支持更多无密码登录选项(例如,“增强的登录安全性”指纹外设),且通过 API 支持密码管理器利用 Hello 实现符合 FIDO2 凭据的无缝身份验证。
- Surface 使用内存安全语言开发 UEFI 固件、采用 Rust 语言构建驱动程序,并与生态系统合作开源这些创新成果和提升整个 Windows 的保护标准,从而提升设备安全性。
- 我们提供符合零信任原则的最佳做法和实施指南,帮助客户降低风险。
- 引入适用于 AI 的数据安全状况管理,将 Sentinel 升级为具备数据湖、图形和 MCP 功能的 AI 优先平台,并推出新的智能体以自动处理大量任务。
-
- Microsoft Purview DSPM for AI 有助于保护 AI 应用数据,并主动监视 AI 使用情况,包括 Copilot、智能体以及其他使用第三方大型语言模型 (LLM) 的 AI 应用。
- Microsoft Sentinel 已发展成为兼具 SIEM 与 AI 就绪能力的平台,为防御者提供单一平台来引入信号、跨域关联,并为基于 Security Copilot、VS Code(使用 GitHub Copilot)或其他开发人员平台构建的 AI 智能体提供支持。
- Security Copilot 智能体引入了由 AI 驱动的自主支持,可处理大量安全和 IT 任务,整合了 Microsoft 安全解决方案和合作伙伴解决方案,可通过 Microsoft 安全应用商店获取。
- 我们提供符合零信任原则的最佳做法和实施指南,帮助客户降低风险。
工程支柱
SFI 的六大支柱包括定义我们的安全方法的目标和操作
在 28 个目标中,5 个接近完成,12 个取得重大进展,其余目标仍在持续推进中。借助 SFI,我们已提升平台和服务的安全性,以及检测和响应威胁的能力。
- 我已提升了 Microsoft 服务和客户的标识安全性。
- 已将 95% 的 Microsoft Entra ID 签名 VM 迁移至 Azure 机密计算。
- 已将 94.3% 的 Microsoft Entra ID 安全令牌验证迁移至我们的标准标识软件开发工具包 (SDK)。
- 已为 99.6% 的 Microsoft 员工和设备强制启用防钓鱼 MFA。
- 我们持续加强隔离,降低横向移动风险。
- 已在我们的生产力环境中停止使用 Active Directory 联合身份验证服务 (ADFS)。
- 已将 98% 由 Azure 服务管理器 (ASM) 管理的云资产迁移至 Azure 资源管理器 (ARM)。
- 在 Microsoft 生产和生产力环境中,额外停用了 56 万个未使用且过期的租户,以及 8.3 万个未使用的 Entra ID 应用。
- 所取得的进展提升了网络安全,并为客户交付了新功能。
- 已实现完整的网络设备清单管理和成熟的资产生命周期管理。
- 通过强化隔离和防护控制,提升了安全性。
- 加速采用网络安全边界 (NSP),超过 110 万个资源处于学习模式,约 50 万个资源处于强制模式。
- 我们提升了用于构建、测试和部署代码的系统的安全性。
- 代码签名现在几乎完全锁定到生产标识,且代码中检测到的机密会持续得到修复。
- 近乎完整的软件资产清单支持快速事件响应和通用策略执行。
- 扩展了默认安全管道和网络隔离,几乎所有生产构建和 94% 的发布管道都使用受控模板。
- 我们正在推进威胁搜寻、快速事件响应和统一安全控制。
- 98% 的生产基础结构处于集中跟踪状态,日志保留期为 2 年。
- 已在 Microsoft 基础结构中部署 50 多项新检测功能,针对高优先级战术、技术和流程 (TTP) - 适用的检测功能将整合到 Microsoft Defender 中。
- 从识别到效果验证,AI 集成正在加速检测生命周期的改进。
- 我们正在提升漏洞识别、分类和修复的速度。
- 尽管漏洞数量和范围持续增加,但基于 AI 的漏洞会审助力我们在缩短缓解时间的同时,达成了 72% 的漏洞修复成功率。
- 加急部署流程加快了漏洞缓解速度。
- Microsoft 发布了 1096 个 CVE,其中包括 53 个无需操作的云 CVE,并支付了 1700 万美元赏金,体现了更高的透明度和外部参与度。
可操作的指导
将我们所学付诸实践
该报告重点介绍了客户可遵循的 10 种模式和实践,以降低优先领域的风险,并为每个领域和支柱分享额外的最佳做法和指南。
