Neste weblog, você aprenderá mais sobre como a Microsoft segura iniciativa Future (SFI)-um estudo de caso do mundo actual sobre zero confiança-alinha com Zero estratégias de confiança. Compartilharemos as principais atualizações do Relatório de Progresso SFI de abril de 2025 e orientações práticas de confiança zero para ajudá -lo a fortalecer a postura de segurança da sua organização. Esteja você procurando aprimorar a proteção, reduzir o risco ou à prova de futuro seu ambiente, este weblog oferece informações acionáveis para apoiar sua jornada em direção a um futuro mais seguro.
O modelo de segurança Zero Belief oferece benefícios comprovados de longa knowledge. O Zero Belief minimiza a superfície do ataque e torna significativamente mais difícil para os cibertackers obter acesso ilícito, seja de fora ou dentro da rede de uma organização. O Zero Belief também é ótimo em garantir ambientes de trabalho híbridos e remotos, ajudando a facilitar os esforços seguros de modernização. A Microsoft acredita fortemente nesses benefícios e trabalhos diligentemente para compartilhar recursosAssim, percepçõese ferramentas como Oficinas de confiança zero com clientes. À medida que a Microsoft inova no espaço de confiança zero, ele compartilha informações com o setor de tecnologia e seus clientes.
Em novembro de 2023, lançamos o Iniciativa futura segura– Um esforço de vários anos para revolucionar a maneira como projetamos, construímos, testamos e operamos nossos produtos e serviços, a fim de alcançar os mais altos padrões de segurança. Em maio de 2024, a Microsoft expandiu a iniciativa futura segura para incluir seis pilares de engenharia e 28 objetivos alinhados. Os proprietários de engenharia foram atribuídos a cada pilar e estabeleceram um corpo de trabalho inicial para avançar cada objetivo, articulado como padrões e medido como resultados -chave. Em muitos casos, esses objetivos e padrões são aplicações rigorosas do Zero Belief para os requisitos exclusivos da Microsoft como um operador líder de nuvem hiper-escala, provedor de serviços e produtos em nuvem e como um dos principais alvos corporativos para maus atores.
Zero confiança: o que isso significa para você
O Zero Belief assume que os cibertackers podem vir de qualquer lugar – naide ou fora da sua rede. Isso significa que você deve “nunca confiar, sempre verifique”. Na prática, isso também significa que todas as solicitações de acesso devem ser autenticadas, autorizadas e validadas continuamente – entregando a você maior confiança de que apenas as pessoas e dispositivos certos podem se conectar aos seus recursos.
Como a Microsoft ajuda você a confiar em ação em ação
- Orientação comprovada e colaboração: Alinhamos com o Instituto Nacional de Padrões e Tecnologia (Nist), O grupo aberto, a agência de segurança de segurança cibernética e infraestrutura (CISA), Mitre e outros, ajudando nossos clientes a se beneficiar de estruturas e práticas recomendadas padrão do setor.
- Suporte de implantação de ponta a ponta: Desde o planejamento até o lançamento, especialistas, ferramentas e ecossistemas de parceiros da Microsoft orientam os clientes por meio de cada um de nossos seis pilares de segurança: identidadesAssim, pontos de extremidadeaplicações, infraestrutura, redee dados.
- Segurança AI-pronta: Nós estendemos zero confiança para Cubra as cargas de trabalho da IA e modelos, incorporando soluções e controles de governança da Microsoft em todas as camadas, para que nossos clientes possam inovar com confiança.
Com essa abordagem abrangente da Microsoft, os clientes não aprendem apenas os princípios – eles ganham a capacidade de aplicá -los em todo o ambiente para ajudar a reduzir o risco, simplificar operações e acelerar a modernização segura.
Aprendizados da iniciativa futura segura para sua jornada de confiança zero
A Microsoft processa mais de 84 trilhões de sinais de segurança todos os dias – de dispositivos e pontos de extremidade a serviços e aplicativos em nuvem – dão uma visibilidade robusta nos emergentes de ameaças cibernéticas e padrões de ataque.1 Ao integrar dados e insights com uma abordagem “nunca confiar, sempre verifique”, a iniciativa futura segura da Microsoft se baseia em estratégias estabelecidas de confiança zero – divulgando a arquitetura na implementação prática. As informações dessa experiência podem permitir que você acelere suas implementações de confiança zero.
Insights principais da SFI
A Jornada Microsoft continuou ao implementar a iniciativa futura segura, surgiu essas lições práticas: use -as para acelerar suas próprias melhorias de segurança.
Lição 1: Defina prioridades e medir o progresso
Com base em nossas prioridades, desenvolvemos seis pilares e 28 objetivos para nos ajudar a focar no que realmente importa. Você pode fazer o mesmo: analise seus principais riscos e agrupe -os em um conjunto de objetivos mensuráveis. Isso dá à sua equipe um roteiro claro e ajuda a priorizar os esforços que movem a agulha.
Lição 2: Alinhe a cultura com as metas de segurança
Aprendemos que as ferramentas por si só não ficam – as pessoas o fazem. A ênfase da Safe Future Initiative na cultura, os objetivos claros de segurança, o treinamento contínuo e as metas de desempenho individuais criam responsabilidade. Traduza isso incorporando a responsabilidade de segurança em todas as funções e oferecendo treinamento contínuo e baseado em funções.
Lição 3: fortalecer a governança de segurança
Com a SFI, a integração do vice -CISOs das principais áreas funcionais e das áreas funcionais no Conselho de Governança avançou a segurança como parte central do desenvolvimento. Isso o torna mais do que apenas um ponto de verificação, permitindo a mitigação de riscos anteriores e a resiliência aprimorada em escala. Você pode evoluir sua abordagem de governança em passo com seu crescimento e áreas funcionais importantes para garantir a visibilidade e a responsabilidade. Isso o ajudará a acelerar a maturidade zero confiar e a permanecer à frente de ameaças cibernéticas emergentes.
Lição 4: você não pode proteger o que não pode ver
Com a iniciativa futura segura, atualmente, mais de 99% dos dispositivos de rede estão registrados em um repositório central para o gerenciamento completo do ciclo de vida. Esses dispositivos usam trilhas de autenticação e auditoria centralizadas, são configuradas com listas de controle de acesso (ACLs) para IPv4/V6 para restringir o movimento lateral e ter salvaguardas para evitar compromissos ou abusos importantes. Aplique isso desenvolvendo um inventário de seu próprio ambiente e implementando o isolamento, monitoramento e operações seguras.
Lição 5: Compartilhe os aprendizados e construa loops de suggestions
A iniciativa futura segura é um estudo de caso vivo – compartilhando progresso, aprendizados e práticas recomendadas por meio de relatórios e blogs. Você também pode adotar uma mentalidade semelhante: documentar o que funciona, compartilhar interna e externamente (quando apropriado) e refinar continuamente sua jornada de confiança zero com base em suas próprias experiências do mundo actual.
Construir seguro por design, seguro por padrão e operações seguras
A iniciativa futura segura incorpora três princípios fundamentais em tudo o que fazemos, e você também pode:
- Seguro por design: Incorpore a modelagem de ameaças e as avaliações de risco nas fases de planejamento mais antigas.
- Seguro por padrão: Ative os corrimãos e as políticas para fora da caixa para que os usuários – e os cibertackers – não possam desativá -los facilmente.
- Operações seguras: Monitore, teste e itera continuamente as defesas à medida que as cibermeaturas evoluem.
Baixar nosso Seguro por design: um package de ferramentas UX Para integrar essas listas de verificação em seus pipelines de desenvolvimento hoje.
Takeaways de clientes importantes do relatório de iniciativa Future Safe Future de abril de 2025
Você pode aprender mais sobre o progresso que fizemos melhorar nossa postura de segurança no Relatório de progresso de abril de 2025.
Abaixo estão os aprendizados desse relatório e exemplos de como você pode melhorar sua postura de segurança aplicando a estrutura e os princípios do Zero Belief.
1. Proteja identidades e segredos
Validar controles com simulações de ataque: Use exercícios da equipe vermelha ou ferramentas de simulação de violação e ataque para testar suas proteções de identidade (autenticação multifatorial, acesso condicional, privilégio just-in-time). Identifique lacunas e ajuste as políticas e os fluxos de trabalho para fechá -las.
2. Proteja os inquilinos e isole os sistemas de produção
Mapear e limitar os caminhos laterais: Relacionamentos de confiança do gráfica do seu ambiente (assinaturas, grupos de recursos, conexões de serviço). Identificar onde um cyberattacker poderia “pular”, depois aplicar micro-segmentação, acesso de rede just-in-time ou gerenciamento de identidade privilegiado para conter qualquer violação.
3. Proteja as redes
Inventário, monitor e segmento: Verifique se todos os dispositivos, máquina digital e serviço estão inventorados e enviando telemetria. A rede de bloqueio flui com políticas de rede de confiança zero e micro-segmentação. Use o monitoramento contínuo para detectar as configurações incorretas antes que elas se tornem vulnerabilidades.
4. Proteja os sistemas de engenharia
Aplicar pipelines de construção segura: Atribua a propriedade clara de código e integra as portas de segurança no seu pipeline de integração contínua/entrega contínua (CI/CD). Adote modelos de infraestrutura como código com corrimãos incorporados e corrigem automaticamente qualquer desvio da sua linha de base de segurança.
5. Monitore e detecte ameaças
Teste sua detecção de ponta a ponta: Execute regularmente simulações realistas de ataques cibernéticos (por exemplo, simulação de violação e ataque, exercícios de equipe roxa) em todas as nuvens e ambientes locais. Valide que alerta o disparo corretamente e que os fluxos de trabalho do seu Centro de Operações de Segurança (SOC) geram investigação e resposta oportunas.
6. Acelere a resposta e remediação
Automatize o patch em escala: Implementar o sistema operacional automatizado (SO) e atualizações de aplicativos (a Microsoft implantou atualizações automatizadas do sistema operacional para 86% de nossos serviços baseados em escalas de máquina digital de primeira parte (VMSs), resultando em mais de que 91 milhões de atualizações em 2024). Mudança deixada no gerenciamento de vulnerabilidades: integrar a varredura e a orquestração de patch nos pipelines de seus DevOps.
Ao adotar essas práticas, você pode endurecer sua postura de confiança zero, reduzir o risco e acelerar a modernização segura – não importa onde você esteja em sua jornada.
Recursos adicionais e itens de ação
Comece em sua jornada de confiança zero: Visite a página da internet da Microsoft Zero Beliefacesse a estrutura de adoção de confiança zero no Microsoft Zero Belief Orientance Middlee baixar o Avaliação do Workshop de Belief Zero Zero hoje.
Leia o Relatório de abril de 2025 da iniciativa futura segura e visite o Microsoft Página de iniciativa futura segura Para mais informações e recursos.
Fale com nossos especialistas: Conecte -se através da sua equipe da conta da Microsoft ou envie uma solicitação no Página de contato de segurança da Microsoft.
Trabalhe com um parceiro de confiança: Use o Microsoft Resolution Accomplice Listing Para encontrar especialistas que possam ajudá -lo a implantar e otimizar sua estratégia.
Junte -se à comunidade: Obtenha acesso direto a engenheiros e insights iniciais por meio do Comunidade de tecnologia de segurança e Programa de conexão com o cliente.
Para saber mais sobre as soluções de segurança do Microsoft, visite nosso web site. Marque o Weblog de segurança Para acompanhar nossa cobertura especializada em questões de segurança. Além disso, siga -nos no LinkedIn (Segurança da Microsoft) e x (@MsftSecurity) para as últimas notícias e atualizações sobre segurança cibernética.
1A Microsoft revela os agentes do Microsoft Safety Copilot e novas proteções para a IA24 de março de 2025.