Il rischio che un singolo PC compromesso trascini con sé un’intera rete aziendale è uno degli incubi più concreti per chi si occupa di sicurezza informatica. Ed è proprio su questo fronte che Microsoft Defender fa un passo avanti significativo: una nuova funzione, attualmente disponibile in anteprima, permette di isolare automaticamente i dispositivi compromessi prima che un attaccante riesca a muoversi lateralmente tra i sistemi. Non serve più aspettare che qualcuno prema un pulsante. Il sistema agisce da solo.
La novità si inserisce nel motore di Automatic Attack Disruption, quella piattaforma introdotta da Microsoft negli ultimi anni per interrompere attacchi in corso senza dipendere dalla velocità di reazione umana. E i numeri spiegano bene perché l’automazione sia diventata così urgente: diverse analisi pubblicate tra il 2025 e il 2026 mostrano che i gruppi ransomware hanno ridotto drasticamente i tempi tra l’accesso iniziale e la cifratura dei dati. In alcuni casi bastano meno di 2 ore. La risposta umana, semplicemente, non riesce a stare al passo.
Come funziona l’isolamento automatico in Microsoft Defender
La funzione si basa sulle capacità già presenti in Defender for Endpoint per l’isolamento manuale delle macchine Windows, ma con una differenza sostanziale: adesso il sistema può decidere in autonomia quando un dispositivo mostra segnali compatibili con una compromissione attiva. Se il motore di correlazione rileva movimenti laterali, attività ransomware, escalation di privilegi o pattern riconducibili a un attacco, il dispositivo viene scollegato dalla rete quasi in tempo reale.
Attenzione però: l’endpoint non resta completamente al buio. Microsoft mantiene aperto il canale verso il servizio cloud di Defender, così che la macchina isolata possa continuare a inviare telemetria, ricevere analisi e applicare misure di contenimento. Il dispositivo è fuori dalla rete aziendale, sì, ma resta sotto osservazione e sotto controllo.
Il motore non si limita a individuare un singolo indicatore di compromissione o un hash associato a un file malevolo. Analizza e mette in relazione più eventi sospetti per identificare attività dannose con maggiore precisione. Se un account effettua autenticazioni anomale, scarica strumenti offensivi, esegue PsExec o tenta dump della memoria, il livello di attenzione sale fino a far scattare l’isolamento automatico del dispositivo.
E se il sistema isola per errore una workstation critica? Microsoft ha pensato anche a questo, rendendo l’azione reversibile: gli amministratori possono sbloccare il dispositivo direttamente dalla console di Defender tramite l’opzione “Rilascia dall’isolamento”. Un dettaglio tutt’altro che secondario, soprattutto in ambito industriale o sanitario, dove isolare un endpoint senza le dovute verifiche potrebbe interrompere applicazioni legacy o sistemi di controllo.
La strategia di Microsoft punta sempre più sull’automazione della sicurezza
Questa nuova funzione racconta molto bene la direzione presa da Microsoft: trasformare Defender da piattaforma di rilevamento a sistema capace di intervenire attivamente sui dispositivi compromessi. La crescita delle funzioni automatiche negli ultimi 2 anni lo conferma: contenimento degli account, isolamento degli endpoint, contrasto alle campagne ransomware e integrazione sempre più stretta con i modelli di intelligenza artificiale utilizzati in Security Copilot.
I team di sicurezza si trovano oggi a gestire volumi di alert sempre più complessi. Gli attaccanti sfruttano tool legittimi, credenziali rubate e movimenti laterali che diventano ogni giorno più rapidi. Ridurre il tempo di reazione non è più un lusso, è una priorità assoluta.
Le aziende con un inventario aggiornato dei dispositivi, telemetria coerente e processi strutturati potranno ottenere vantaggi concreti da queste automazioni. Ambienti disordinati, al contrario, rischiano di trasformare l’automazione in un moltiplicatore di problemi.