在我們的第三個進度報告中,我們會分享每個領域和工程要點的更新、引進 NIST 網路安全性架構的地圖,協助客戶瞭解使用公認的產業架構的進度,以及強調為客戶提供的新安全性功能。我們也分享符合零信任原則的最佳做法和實作指導方針,協助客戶降低風險。
安全未來倡議
2025 年 11 月 SFI 進度報告
Microsoft 安全未來倡議 (SFI) 是一項持續承諾,旨在革新我們設計、建置、測試及運營產品和服務的方式,以達到最高的安全標準。
我們在整個組織中持續培養以安全為先的文化。
- 95% 的員工已完成 2025 年 7 月指派的最新安全訓練「防範 AI 支援的攻擊」,該課程仍是我們評價最高的課程之一。
- 自 2024 年 2 月以來,工程團隊對安全性相關的關注升了 9 點。
- 為強化工作與家庭中的安全優先思維,我們為員工開發了資源,並首次提供給客戶使用以提升安全意識。
"我們已將安全視為 Microsoft 每位員工的核心優先事項,而不僅限於安全團隊。」
Vasu Jakkal
CVP,Microsoft 安全性
CVP,Microsoft 安全性
我們會持續擴展治理模式,以解決不斷演變的威脅環境與日益增加的法規複雜性。
- 擴大網路安全治理委員會的範圍,以包含 3 位副首席資訊安全長 (Deputy CISO) 職責:
- 供應鏈和第三方
- 商務功能、行銷與財務
- 符合歐盟網路安全性法規
- 已成立 Microsoft 歐洲安全性計畫來加深合作夥伴關係,並更有效地向歐洲政府說明威脅現況。持續積極參與歐盟網路韌性法案專家小組。
- 積極與產業夥伴合作,透過全球南方地區推動區域網路安全倡議,更好地協調現有與未來的網路安全法規,並提升網路安全能力。
"我們深信,如果您的文化不一致,就無法建立永續的計畫;若治理未一致,更無法建立可衡量的計畫。」
Ann Johnson
CVP & 副首席資訊安全長,客戶安全管理辦公室
CVP & 副首席資訊安全長,客戶安全管理辦公室
安全原則
安全設計、安全預設及安全操作
在「安全設計」、「安全預設」與「安全營運」三大安全原則指導下,Microsoft 各團隊持續提供創新以協助保護客戶與 Microsoft。
- 引進強制安全預設值、擴大的硬體式信任,以及更新的安全性基準來協助提升雲端安全性。
-
- 所有 Azure 使用者現已強制啟用多重身份驗證 (MFA),降低密碼相關攻擊的風險。此外,Azure Bastion 開發人員現於 35 個區域中提供安全預設的虛擬機器連線。
- Microsoft Cloud 安全性基準 (MCSB) 版本 2 為客戶提供已更新的安全性基準指導方針,可使用適用於雲端的 Microsoft Defender 實施。
- Azure Local 將安全預設設定數量增加 25% (共 400 項設定)。此舉進一步簡化客戶遵循產業標準的能力,並更有效保護 Azure Local 節點免受像是無檔案惡意軟體等額外威脅的攻擊。
- 我們提供符合零信任原則的最佳做法和實作指導方針,協助客戶降低風險。
- 引入專屬 AI 角色,強化代理程式生命週期治理,並提升資料安全性透明度,讓組織擁有更多控制與可見性。
-
- 專屬的 AI 系統管理員角色可針對 Copilot 和其他新興 AI 功能提供更安全、最低權限的管理,消除廣泛系統管理存取權的需求。
- 集中式控制項可透過啟用系統管理員核准、限制和稽核 Microsoft 365 中的代理程式,同時監視存取和使用以確保更安全、符合規範的操作,加強代理程式生命週期控管。
- Copilot Web 搜尋透明度與 Microsoft Purview 資料安全性態勢管理 (DSPM) 可針對外部資料來源風險啟用提示層級的稽核與調查。
- 我們提供符合零信任原則的最佳做法和實作指導方針,協助客戶降低風險。
- 引入自動復原功能,擴大金鑰與 Windows Hello 支援,並提升韌體與驅動程式中的記憶體安全性。這些更新可協助強制執行零信任原則,提升安全性與韌性。
-
- 快速電腦復原能透過安全、雲端連線的復原環境及提供內建韌性,自動偵測並補救開機失敗。
- Windows Hello 現在支援額外的無密碼登入選項,如增強式登入安全性指紋周邊裝置,且 API 允許金鑰管理員利用 Windows Hello 取得符合 FIDO2 合規性憑證的無縫驗證。
- Surface 正在提升裝置安全性,方法是藉由使用記憶體安全語言開發 UEFI 韌體、在 Rust 中建置驅動程式,並與生態系統合作以開源這些創新,及提升 Windows 中的保護標準。
- 我們提供符合零信任原則的最佳做法和實作指導方針,協助客戶降低風險。
- 引入 AI 資料安全態勢管理,將 Sentinel 發展為具備資料湖、圖形與 MCP 功能的 AI 優先平台,並推出新代理程式以自動化大量工作。
-
- Microsoft Purview DSPM for AI 協助保護 AI 應用資料,並主動監控 AI 使用情況,包括 Copilot、代理程式及使用第三方大型語言模型 (LLM) 的其他 AI 應用程式。
- Microsoft Sentinel 已逐漸演變成同時具備 SIEM 與 AI 就緒功能的平台,為防禦者提供單一平台來擷取訊號、跨領域關聯,並強化 Security Copilot、使用 GitHub Copilot 的 VS Code 或其他開發者平台中建置的 AI 代理程式。
- Security Copilot 代理程式引入自主 AI 支援的客戶服務中心,協助處理大量安全性與 IT 工作,整合於 Microsoft 安全性及合作夥伴間的解決方案,並可透過 Microsoft 安全性商店取得。
- 我們提供符合零信任原則的最佳做法和實作指導方針,協助客戶降低風險。
工程要點
六個 SFI 要點包含定義我們安全性方法的目標與動作
在 28 個目標中,有 5 個即將完成,12 個獲得重大進展,我們會持續對其餘目標取得進展。透過安全未來倡議,我們提升了平台與服務的安全性,以及偵測與回應威脅的能力。
- 我們已提升 Microsoft 服務與客戶的身分識別安全。
- 已將 95% 的 Microsoft Entra ID 簽章虛擬機器移轉至 Azure 保密運算。
- 已將 94.3% 的 Microsoft Entra ID 安全性權杖驗證移至我們的標準身分識別軟體開發套件 (SDK)。
- 對 99.6% 的 Microsoft 員工及裝置強制執行防網路釣魚多重要素驗證 (MFA)。
- 我們持續提升隔離措施並降低橫向移動風險。
- 已停止在我們的生產力環境中使用 Active Directory 同盟服務 (AD FS)。
- 已將 98% 由 Azure 服務管理員 (ASM) 管理的雲端資產移轉至 Azure Resource Manager (ARM)。
- 已在 Microsoft 生產及生產力環境中移除額外 560,000 個未使用且老舊的租用戶,以及 83,000 個未使用的 Entra ID 應用程式。
- 已取得的進展提升了網路安全並為客戶提供新功能。
- 已達到完整網路裝置清點和成熟的資產生命週期管理。
- 已透過增強的隔離和保護控制措施來強化安全性。
- 加速採用網路安全邊界 (NSP),目前有超過 110 萬個資源處於學習模式,約 50 萬個資源處於強制執行模式。
- 我們已提升用於建置、測試及部署代碼的系統安全性。
- 程式碼簽署幾乎完全鎖定為生產身分識別,並持續補救程式碼中偵測到的密碼。
- 接近完整的軟體資產清點會啟用快速事件回應及通用原則執行。
- 擴大安全預設的管線與網路隔離,與使用受管理範本的幾乎所有的生產組建及 94% 的發行管線。
- 我們正在推動威脅搜捕、快速事件回應及統一安全控制。
- 98% 的生產基礎架構已集中追蹤,記錄會保留 2 年。
- 在 Microsoft 基礎架構中部署超過 50 項新偵測,針對高優先度的策略、技術與程序 (TTPs) — 適用的偵測將整合至 Microsoft Defender。
- 人工智慧整合加速偵測生命週期的改進,從識別碼到效能驗證。
- 我們正加快漏洞的識別、分級與解決速度。
- AI 型弱點分級有助於在我們縮短的風險降低時間內成功將弱點解決率提升到 72%,儘管漏洞的數量和範圍持續增加。
- 加快部署流程已加速漏洞風險降低。
- Microsoft 發布了 1,096 個 CVE,其中包含 53 個無需採取行動的雲端 CVE,並支付了 1,700 萬美元的獎金,展現更高的透明度與外部參與。
可採取動作的指導方針
將我們學到技能的付諸實踐
本報告強調 10 種客戶可遵循以降低優先領域風險的模式與做法,並分享每個領域與要點的額外最佳實務與指引。
關注 Microsoft