Perbandingan layanan
Antivirus vs EDR: mana yang sebenarnya dibutuhkan bisnis Anda?
Ringkasnya
Antivirus memblokir malware yang dikenal, EDR menangkap infostealer dan awal serangan ransomware. Perbedaan praktisnya, dan kapan antivirus saja masih cukup.
Sebagian besar bisnis sudah menjalankan antivirus dan menganggap endpoint mereka aman. Pertanyaan yang layak diajukan lebih sempit dari kelihatannya. Antivirus pandai pada satu hal, dan satu hal itu tidak lagi mencakup cara mayoritas serangan benar-benar bekerja. Halaman ini menjabarkan apa yang dilakukan masing-masing pendekatan, apa yang sebenarnya menghantam endpoint di Indonesia, kapan antivirus saja masih pilihan yang bisa dipertanggungjawabkan, dan bagaimana migrasi ke managed EDR berjalan di lapangan.
Untuk apa masing-masing dibuat
Antivirus, kadang dijual sebagai EPP atau endpoint protection, bekerja dengan pengenalan. Ia mencocokkan file ke daftar ancaman yang sudah dikenal lalu memblokir yang cocok. Ia cepat dan masih menangkap banyak malware biasa. Persoalannya ada di kata "dikenal". Ia hanya bisa menghentikan apa yang sudah pernah dilihat dan disidikjarikan seseorang.
EDR, endpoint detection and response, bekerja dengan pengamatan. Alih-alih hanya memeriksa file, ia merekam apa yang sedang dilakukan endpoint dan mengawasi perilaku yang terlihat seperti serangan. Itu membuatnya bisa menangkap hal yang tidak punya file untuk dipindai, seperti penyerang yang menyalahgunakan PowerShell atau masuk dengan kredensial curian. Saat sesuatu salah, ia juga memberi Anda cara merespons: mengisolasi mesin, melihat apa yang disentuh, dan menelusuri ke mana penyerang pergi.
Apa yang sebenarnya menghantam endpoint di Indonesia
Volumenya bukan pengandaian. Pemantauan siber nasional BSSN mencatat 330.527.636 anomali trafik di jaringan Indonesia sepanjang 2024, kurang lebih 900.000 potensi insiden per hari yang mencari mesin tanpa pengawasan.
Bentuk serangan yang lolos pun berubah. Verizon Data Breach Investigations Report 2025 menemukan ransomware pada 44 persen pelanggaran yang terkonfirmasi, naik dari 32 persen setahun sebelumnya, dan pada 88 persen pelanggaran di bisnis kecil-menengah. Pendahulu senyap dari banyak insiden itu adalah infostealer: malware murahan yang menguras password tersimpan, cookie sesi, dan token dari browser dalam hitungan detik, lalu menjualnya sebagai log. Laporan yang sama mencocokkan korban ransomware dengan pasar gelap kriminal dan menemukan 54 persen di antaranya punya kredensial korporat yang sudah beredar di log infostealer sebelum pemerasan terjadi. Ransomware yang akhirnya Anda lihat sering kali hanya langkah terakhir dari intrusi yang dimulai dari satu kredensial yang dicuri berminggu-minggu sebelumnya.
Mengapa antivirus signature melewatkan tahap awalnya
Rantai serangan seperti itulah yang paling sulit ditangani antivirus berbasis signature, karena tiga alasan. Varian infostealer diproduksi dan dikemas ulang lebih cepat daripada signature ditulis, sehingga sampel baru sering lolos pemindaian justru pada hari yang menentukan. Pencuriannya sendiri berlangsung beberapa detik dan tidak meninggalkan file menetap yang bisa ditemukan pemindaian terjadwal berikutnya. Dan intrusi lanjutannya bisa jadi tidak melibatkan malware sama sekali: penyerang masuk dengan kredensial curian, bergerak memakai PowerShell dan tool admin yang sah, lalu baru menjatuhkan ransomware yang dikenali di tahap paling akhir, setelah backup ditemukan dan disiapkan untuk dihapus. Pada saat produk signature akhirnya punya sesuatu untuk dicocokkan, bagian yang seharusnya dihentikan sudah lewat.
EDR dibuat untuk bagian tengah rantai itu. Ia menandai proses yang membaca penyimpanan kredensial browser, login jam 2 pagi dari mesin yang tidak pernah melakukannya, tool admin yang dijalankan akun yang tidak pernah memakainya. Perilaku semacam itu terlihat, ada atau tidak ada file yang cocok dengan signature.
Perbedaan yang penting
| Antivirus (EPP) | EDR | |
|---|---|---|
| Cara mendeteksi | Mencocokkan file ke signature yang dikenal | Mengawasi perilaku endpoint secara real time |
| Serangan tak dikenal dan fileless | Sebagian besar terlewat | Terdeteksi lewat perilaku, tanpa perlu signature |
| Penyalahgunaan kredensial curian | Tak terlihat, tidak ada file berbahaya yang terlibat | Tertangkap lewat login dan pemakaian tool yang janggal |
| Visibilitas setelah pelanggaran | Nyaris tidak ada | Rekaman lengkap perbuatan penyerang |
| Opsi respons | Karantina atau hapus file | Isolasi host, perburuan lintas endpoint, rollback |
| Yang dibutuhkan dari Anda | Pasang dan perbarui | Ada orang yang membaca dan menindaklanjuti alert |
| Logika biaya | Lisensi per perangkat murah, tanpa butuh staf | Lebih mahal per endpoint, plus orang yang mengawasi, biasanya lewat layanan terkelola |
Versi singkatnya, antivirus menjawab "apakah file ini jahat?" dan EDR menjawab "apakah ada hal jahat yang sedang terjadi di sini?" Itu dua pertanyaan berbeda, dan pertanyaan kedua adalah yang dipaksakan penyerang untuk Anda tanyakan.
Kapan antivirus saja masih bisa dipertanggungjawabkan
Ada argumen yang jujur di ujung paling kecil. Kalau Anda menjalankan segelintir laptop, tanpa server, semua di SaaS cloud, tidak memegang data yang diatur regulasi atau data pembayaran, dan kehilangan satu mesin hanya berarti instal ulang, bukan operasional yang berhenti, maka antivirus tepercaya dengan pembaruan otomatis adalah risiko yang wajar diterima, asalkan dasar-dasarnya terjaga: MFA di email dan perbankan, browser dan sistem operasi yang terbarui, serta backup offline untuk apa pun yang tidak bisa dibuat ulang.
Jujurlah soal apa yang Anda terima: intrusi yang senyap akan lewat tanpa disadari. Untuk firma lima orang yang tidak banyak menyimpan apa-apa, itu bisa jadi pilihan rasional. Begitu Anda memegang data pelanggan, terkena kewajiban UU PDP atau aturan OJK, atau bisa kehilangan uang sungguhan dari seminggu downtime, hitungannya berbalik.
Jalur migrasi ke managed EDR
Perpindahannya tidak seberat yang dibayangkan kebanyakan tim, karena EDR modern sudah menyertakan lapisan pencegahan yang dulu dikerjakan antivirus; Anda mengganti agent, bukan menambah agent kedua. Jalur yang lazim memakan beberapa minggu: inventarisasi endpoint dan sistem operasinya, uji coba agent di mesin tim IT sendiri, gelar dalam mode deteksi saja berdampingan dengan antivirus lama, satu-dua minggu merapikan deteksi yang berisik, lalu aktifkan pemblokiran dan pensiunkan agent lama.
Langkah yang paling sering dilewati justru yang menentukan semuanya berhasil atau tidak: menghubungkan alert ke orang yang mengawasinya sepanjang waktu. Itulah beda antara memiliki EDR dan terlindungi olehnya, dan itulah alasan kebanyakan perusahaan Indonesia membeli tool dan pengawasnya sekaligus sebagai managed EDR.
Yang kami sediakan
Kami menggelar dan menjalankan EDR sebagai bagian dari layanan terkelola, jadi Anda mendapatkan deteksinya sekaligus orang yang membacanya, bukan satu lagi tool tanpa pengawas. Untuk alasan lengkap di balik semua ini, ditulis dari pengalaman lapangan, baca mengapa antivirus tidak cukup. Pengawasannya sendiri berada di dalam managed SOC kami, dan ketika sesuatu memang lolos, tim respons insiden kami yang menanganinya dari sana.
Referensi
Ditinjau oleh Mohit Bhansali, Head of Technology
Pertanyaan umum
Antivirus memblokir file yang dikenalinya sebagai berbahaya dengan mencocokkannya ke signature yang sudah dikenal. EDR merekam apa yang terjadi di endpoint, proses mana memulai proses lain, apa yang terhubung ke jaringan, kapan area sistem yang sensitif disentuh, lalu menandai perilaku mencurigakan bahkan ketika tidak ada file berbahaya yang terlibat. Singkatnya, antivirus menghentikan file jahat yang sudah dikenal, sedangkan EDR mendeteksi perilaku penyerang dan memungkinkan Anda meresponsnya.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.