Microsoft Defender ora blocca automaticamente i PC compromessi

Bloccare un sistema compromesso prima che l’attaccante riesca a spostarsi lateralmente nella rete fa spesso la differenza tra un incidente circoscritto e un ransomware distribuito su decine di sistemi. Microsoft sta spingendo sempre di più su questa soluzione con una nuova funzione di Defender for Endpoint che automatizza l’isolamento dei dispositivi che manifestano problemi riconducibili ad attacchi e infezioni.

La novità, al momento disponibile in anteprima, fa ingresso nel motore che si occupa di “automatic attack disruption“, sistema introdotto negli ultimi anni per interrompere attacchi in corso senza attendere l’intervento umano.

Secondo diverse analisi pubblicate nel 2025 e nel 2026, i gruppi ransomware hanno ridotto drasticamente il tempo necessario per passare dall’accesso iniziale alla cifratura dei sistemi: in alcuni casi bastano meno di 2 ore. E la reazione umana resta più lenta rispetto alla velocità degli attaccanti.

Come funziona l’isolamento automatico dei dispositivi con Microsoft Defender

La funzione presentata dall’azienda di Redmond fa perno sulle capacità già presenti in Defender for Endpoint per l’isolamento manuale delle macchine Windows.

La differenza è che ora il sistema può decidere in autonomia quando un host mostra indicatori compatibili con una compromissione attiva. Se il motore di correlazione rileva movimenti laterali, attività ransomware, escalation di privilegi o pattern associati a un attacco, il dispositivo viene scollegato dalla rete quasi in tempo reale.

L’endpoint non perde però completamente la connettività: Microsoft mantiene aperto il canale verso il servizio cloud di Defender. Il sistema può così continuare a raccogliere telemetria, eseguire analisi e applicare misure di contenimento e neutralizzazione del malware o dell’attacco, anche mentre il dispositivo resta isolato dal resto della rete aziendale.

Il ruolo di Automatic Attack Disruption

L’isolamento automatico dei sistemi si integra con la già citata piattaforma Automatic Attack Disruption, introdotta per contenere account compromessi, bloccare movimenti laterali e interrompere catene ransomware. Il sistema correla segnali provenienti da Defender for Endpoint, Defender for Identity, Microsoft 365 Defender e altri componenti XDR.

Microsoft non si limita a rilevare un singolo indicatore di compromissione (IOC) o un hash associato a un file malevolo, ma analizza e mette in relazione più eventi sospetti per identificare attività dannose con maggiore precisione. Se un account effettua autenticazioni anomale, scarica strumenti offensivi, esegue PsExec o tenta dump della memoria, il motore può aumentare il livello di attenzione fino a far scattare l’isolamento automatico.

Cosa succede se il sistema isola una workstation critica per errore? Microsoft cerca di limitare il rischio rendendo l’azione reversibile: gli amministratori possono “liberare” il dispositivo direttamente dalla console di Defender tramite l’opzione “Rilascia dall’isolamento“. In ambito industriale o sanitario, isolare automaticamente un endpoint senza una verifica attendibile potrebbe interrompere applicazioni legacy o sistemi di controllo.

Microsoft accelera sull’automazione della sicurezza

La nuova funzione mette in evidenza la via segnata da Microsoft: la società guidata da Satya Nadella vuole trasformare Defender da semplice piattaforma di rilevamento a sistema capace di intervenire direttamente sui sistemi compromessi. La crescita delle funzioni automatiche negli ultimi 2 anni lo conferma: contenimento degli account, isolamento degli endpoint, distruzione delle campagne ransomware e integrazione sempre più stretta con i modelli AI utilizzati in Security Copilot.

I team di sicurezza si trovano oggi a interagire con volumi di alert sempre più complessi, con gli attaccanti che sfruttano tool legittimi, credenziali rubate e movimenti laterali sempre più rapidi. Ridurre il tempo di reazione diventa quindi una priorità assoluta.

Aziende con un inventario aggiornato dei dispositivi in uso, telemetria coerente e processi strutturati potranno ottenere vantaggi concreti; ambienti disordinati rischiano invece di trasformare l’automazione in un moltiplicatore di problemi.