Bloccare un sistema compromesso prima che l’attaccante riesca a spostarsi lateralmente nella rete fa spesso la differenza tra un incidente circoscritto e un ransomware distribuito su decine di sistemi. Microsoft sta spingendo sempre di più su questa soluzione con una nuova funzione di Defender for Endpoint che automatizza l’isolamento dei dispositivi che manifestano problemi riconducibili ad attacchi e infezioni.
La novità, al momento disponibile in anteprima, fa ingresso nel motore che si occupa di “automatic attack disruption“, sistema introdotto negli ultimi anni per interrompere attacchi in corso senza attendere l’intervento umano.
Secondo diverse analisi pubblicate nel 2025 e nel 2026, i gruppi ransomware hanno ridotto drasticamente il tempo necessario per passare dall’accesso iniziale alla cifratura dei sistemi: in alcuni casi bastano meno di 2 ore. E la reazione umana resta più lenta rispetto alla velocità degli attaccanti.
Come funziona l’isolamento automatico dei dispositivi con Microsoft Defender
La funzione presentata dall’azienda di Redmond fa perno sulle capacità già presenti in Defender for Endpoint per l’isolamento manuale delle macchine Windows.
