Langsung ke konten utama
← BlogKeamanan Endpoint

Antivirus saja tidak cukup lagi. Ini alasan Anda butuh EDR.

Antivirus masih memblokir malware yang dikenal, tapi tidak melihat serangan fileless dan semua yang dilakukan penyusup setelah masuk. Ini yang ditambahkan EDR, dari orang yang bekerja dengan endpoint tiap hari.

R
Rizki Pratama · DevSecOps Engineer
24 Juni 2026·4 menit

Beberapa waktu lalu saya membantu sebuah tim fintech memeriksa satu mesin yang perilakunya aneh. Antivirus mereka hijau semua. Setiap endpoint melapor bersih, dashboard tenang, dan di atas kertas tidak ada yang salah. Padahal masalahnya nyata. Seseorang sudah berada di mesin itu hampir seminggu, diam-diam, dan antivirusnya sama sekali tidak berkomentar.

Celah itulah inti ceritanya. Antivirus melakukan persis seperti yang dirancang. Ia hanya tidak dirancang untuk hal yang benar-benar terjadi.

Untuk apa antivirus dibuat

Antivirus tradisional bekerja dengan signature. Vendor melihat sebuah malware, mengambil sidik jarinya, lalu mengirim sidik jari itu ke semua mesin yang memakai produk mereka. Endpoint Anda memindai file, membandingkannya dengan daftar, dan memblokir apa pun yang cocok. Produk baru menambahkan sedikit machine learning dan menyebut dirinya EPP, endpoint protection platform, tapi ide intinya sama. Kenali yang jahat, hentikan yang jahat.

Untuk waktu yang lama itu cukup, karena serangan memang berbentuk file. Anda mengunduh sesuatu, ia berjalan, lalu scanner menangkapnya atau tidak. Signature itu cepat, murah, dan masih menangkap banyak sampah biasa. Saya tidak akan menyuruh Anda membuang antivirus. Ia mengerjakan pekerjaan yang nyata.

Masalahnya, pekerjaan yang dikerjakannya terus mengecil.

Di mana ia berhenti bekerja

Penyerang sudah lama sadar bahwa cara termudah melewati pemindai signature adalah dengan tidak punya signature. Maka mereka berhenti bergantung pada file.

Intrusi modern sering kali tidak menjatuhkan file berbahaya ke disk sama sekali. Penyerang memakai tool yang sudah ada di mesin. PowerShell, scripting host bawaan Windows, scheduled task, utilitas admin yang sama yang dipakai tim IT Anda tiap hari. Inilah yang orang maksud dengan fileless atau living-off-the-land. Tidak ada yang bisa dipindai antivirus, karena tidak ada yang baru mendarat. Bagian jahatnya adalah perilakunya, bukan filenya.

Lalu ada kredensial curian. Kalau penyerang masuk dengan username dan password asli, tidak ada scanner yang akan menandainya. Itu terlihat seperti login biasa karena memang begitu. Akunnya hanya kebetulan berada di tangan yang salah.

Berikut ide yang sama, dijabarkan apa adanya. Inilah hal-hal yang penting begitu ada orang yang sungguh-sungguh berusaha masuk.

Tidak ada yang eksotis di sini. Ini playbook standar sekarang, bukan yang tingkat lanjut.

Lihat bagaimana ini benar-benar terjadi

Mari saya jelaskan sebuah intrusi yang cukup biasa, jenis yang tidak masuk berita tapi terjadi terus-menerus. Perhatikan di mana antivirus memperhatikan dan di mana ia tertidur.

Perhatikan polanya. Antivirus diam sepanjang bagian serangan di mana Anda masih bisa berbuat sesuatu dengan murah. Saat ia akhirnya menyala, ransomware sudah berjalan dan penyerang sudah di dalam berhari-hari. Kemenangan selambat itu sebenarnya bukan kemenangan.

Apa yang sebenarnya ditambahkan EDR

EDR adalah singkatan dari endpoint detection and response, dan kata yang berguna di situ adalah detection. Alih-alih hanya mencocokkan file dengan daftar, agen EDR merekam apa yang sedang dilakukan endpoint. Proses mana memulai proses mana. Apa yang terhubung ke jaringan. Kapan seseorang menyentuh bagian sistem yang sensitif.

Rekaman itu mengubah apa yang bisa Anda lihat. PowerShell fileless tadi tidak terlihat seperti file, tapi terlihat seperti browser yang diam-diam memunculkan scripting engine yang lalu menjangkau internet. Rantai itu sudah mencurigakan dengan sendirinya, dan EDR bisa menandainya tanpa pernah butuh signature untuk payloadnya.

Bagian response juga penting. Ketika sesuatu memang salah, Anda tidak terkunci. Anda bisa mengisolasi mesin dari jaringan dengan satu tindakan, melihat persis apa yang disentuh penyerang, dan memeriksa apakah mereka sampai ke tempat lain. Dengan antivirus biasa, jawaban Anda untuk "mereka berbuat apa" biasanya cuma angkat bahu lalu install ulang.

Mengapa keterlambatan itu mahal

Alasan semua ini layak dibayar berujung pada waktu. Makin lama penyusup duduk tanpa terdeteksi, makin mahal buat Anda, dan kurvanya tidak landai.

Antivirus signature tidak melakukan apa pun untuk memperpendek jendela itu, karena ia memang tidak mengawasi perilaku yang mengisinya. EDR dibuat justru untuk jendela itu. Ini selisih antara tahu Anda punya masalah di hari kedua dengan baru tahu di hari keempat puluh ketika datanya sudah hilang.

EDR bukan kotak ajaib

Sekarang bagian jujurnya. EDR bukan sesuatu yang Anda pasang lalu lupakan. Ia menghasilkan alert, dan alert butuh manusia yang tahu seperti apa normal di lingkungan Anda dan bisa membedakan masalah nyata dari yang berisik saja. Saya pernah melihat EDR digelar, dibiarkan tanpa pengawas, lalu berubah jadi satu lagi dashboard yang tidak pernah dibuka. Itu lebih buruk daripada percuma, karena kini Anda membayar visibilitas yang tidak Anda pakai.

Inilah alasan kebanyakan perusahaan tidak menjalankannya sendirian. Mereka membangun tim untuk mengawasinya sepanjang waktu, atau menyerahkan bagian itu ke layanan managed detection yang mengawasinya untuk mereka. Tool memberi Anda sinyal. Tetap harus ada yang mendengarkan.

Kalau Anda sedang menimbang ini, pertanyaan praktisnya sebenarnya bukan antivirus atau EDR. Pertanyaannya, apakah ada orang yang akan menyadari penyusup di jaringan Anda sebelum mereka menyelesaikan pekerjaannya. Kalau Anda ingin perbandingan yang lebih panjang, kami menulisnya di antivirus versus EDR, dan managed SOC kami adalah tempat bagian pengawasan itu berada.

Written By
R
Rizki Pratama
DevSecOps Engineer

Rizki builds secure delivery pipelines for Indonesian fintechs, embedding OJK-aligned controls without slowing release velocity.

LinkedIn