Langsung ke konten utama

Perbandingan layanan

Antivirus vs EDR: mana yang sebenarnya dibutuhkan bisnis Anda?

Ringkasnya

Antivirus memblokir malware yang dikenal, EDR menangkap infostealer dan awal serangan ransomware. Perbedaan praktisnya, dan kapan antivirus saja masih cukup.

Security monitoring

Sebagian besar bisnis sudah menjalankan antivirus dan menganggap endpoint mereka aman. Pertanyaan yang layak diajukan lebih sempit dari kelihatannya. Antivirus pandai pada satu hal, dan satu hal itu tidak lagi mencakup cara mayoritas serangan benar-benar bekerja. Halaman ini menjabarkan apa yang dilakukan masing-masing pendekatan, apa yang sebenarnya menghantam endpoint di Indonesia, kapan antivirus saja masih pilihan yang bisa dipertanggungjawabkan, dan bagaimana migrasi ke managed EDR berjalan di lapangan.

Untuk apa masing-masing dibuat

Antivirus, kadang dijual sebagai EPP atau endpoint protection, bekerja dengan pengenalan. Ia mencocokkan file ke daftar ancaman yang sudah dikenal lalu memblokir yang cocok. Ia cepat dan masih menangkap banyak malware biasa. Persoalannya ada di kata "dikenal". Ia hanya bisa menghentikan apa yang sudah pernah dilihat dan disidikjarikan seseorang.

EDR, endpoint detection and response, bekerja dengan pengamatan. Alih-alih hanya memeriksa file, ia merekam apa yang sedang dilakukan endpoint dan mengawasi perilaku yang terlihat seperti serangan. Itu membuatnya bisa menangkap hal yang tidak punya file untuk dipindai, seperti penyerang yang menyalahgunakan PowerShell atau masuk dengan kredensial curian. Saat sesuatu salah, ia juga memberi Anda cara merespons: mengisolasi mesin, melihat apa yang disentuh, dan menelusuri ke mana penyerang pergi.

Apa yang sebenarnya menghantam endpoint di Indonesia

Volumenya bukan pengandaian. Pemantauan siber nasional BSSN mencatat 330.527.636 anomali trafik di jaringan Indonesia sepanjang 2024, kurang lebih 900.000 potensi insiden per hari yang mencari mesin tanpa pengawasan.

Bentuk serangan yang lolos pun berubah. Verizon Data Breach Investigations Report 2025 menemukan ransomware pada 44 persen pelanggaran yang terkonfirmasi, naik dari 32 persen setahun sebelumnya, dan pada 88 persen pelanggaran di bisnis kecil-menengah. Pendahulu senyap dari banyak insiden itu adalah infostealer: malware murahan yang menguras password tersimpan, cookie sesi, dan token dari browser dalam hitungan detik, lalu menjualnya sebagai log. Laporan yang sama mencocokkan korban ransomware dengan pasar gelap kriminal dan menemukan 54 persen di antaranya punya kredensial korporat yang sudah beredar di log infostealer sebelum pemerasan terjadi. Ransomware yang akhirnya Anda lihat sering kali hanya langkah terakhir dari intrusi yang dimulai dari satu kredensial yang dicuri berminggu-minggu sebelumnya.

Mengapa antivirus signature melewatkan tahap awalnya

Rantai serangan seperti itulah yang paling sulit ditangani antivirus berbasis signature, karena tiga alasan. Varian infostealer diproduksi dan dikemas ulang lebih cepat daripada signature ditulis, sehingga sampel baru sering lolos pemindaian justru pada hari yang menentukan. Pencuriannya sendiri berlangsung beberapa detik dan tidak meninggalkan file menetap yang bisa ditemukan pemindaian terjadwal berikutnya. Dan intrusi lanjutannya bisa jadi tidak melibatkan malware sama sekali: penyerang masuk dengan kredensial curian, bergerak memakai PowerShell dan tool admin yang sah, lalu baru menjatuhkan ransomware yang dikenali di tahap paling akhir, setelah backup ditemukan dan disiapkan untuk dihapus. Pada saat produk signature akhirnya punya sesuatu untuk dicocokkan, bagian yang seharusnya dihentikan sudah lewat.

EDR dibuat untuk bagian tengah rantai itu. Ia menandai proses yang membaca penyimpanan kredensial browser, login jam 2 pagi dari mesin yang tidak pernah melakukannya, tool admin yang dijalankan akun yang tidak pernah memakainya. Perilaku semacam itu terlihat, ada atau tidak ada file yang cocok dengan signature.

Perbedaan yang penting

 Antivirus (EPP)EDR
Cara mendeteksiMencocokkan file ke signature yang dikenalMengawasi perilaku endpoint secara real time
Serangan tak dikenal dan filelessSebagian besar terlewatTerdeteksi lewat perilaku, tanpa perlu signature
Penyalahgunaan kredensial curianTak terlihat, tidak ada file berbahaya yang terlibatTertangkap lewat login dan pemakaian tool yang janggal
Visibilitas setelah pelanggaranNyaris tidak adaRekaman lengkap perbuatan penyerang
Opsi responsKarantina atau hapus fileIsolasi host, perburuan lintas endpoint, rollback
Yang dibutuhkan dari AndaPasang dan perbaruiAda orang yang membaca dan menindaklanjuti alert
Logika biayaLisensi per perangkat murah, tanpa butuh stafLebih mahal per endpoint, plus orang yang mengawasi, biasanya lewat layanan terkelola

Versi singkatnya, antivirus menjawab "apakah file ini jahat?" dan EDR menjawab "apakah ada hal jahat yang sedang terjadi di sini?" Itu dua pertanyaan berbeda, dan pertanyaan kedua adalah yang dipaksakan penyerang untuk Anda tanyakan.

Kapan antivirus saja masih bisa dipertanggungjawabkan

Ada argumen yang jujur di ujung paling kecil. Kalau Anda menjalankan segelintir laptop, tanpa server, semua di SaaS cloud, tidak memegang data yang diatur regulasi atau data pembayaran, dan kehilangan satu mesin hanya berarti instal ulang, bukan operasional yang berhenti, maka antivirus tepercaya dengan pembaruan otomatis adalah risiko yang wajar diterima, asalkan dasar-dasarnya terjaga: MFA di email dan perbankan, browser dan sistem operasi yang terbarui, serta backup offline untuk apa pun yang tidak bisa dibuat ulang.

Jujurlah soal apa yang Anda terima: intrusi yang senyap akan lewat tanpa disadari. Untuk firma lima orang yang tidak banyak menyimpan apa-apa, itu bisa jadi pilihan rasional. Begitu Anda memegang data pelanggan, terkena kewajiban UU PDP atau aturan OJK, atau bisa kehilangan uang sungguhan dari seminggu downtime, hitungannya berbalik.

Jalur migrasi ke managed EDR

Perpindahannya tidak seberat yang dibayangkan kebanyakan tim, karena EDR modern sudah menyertakan lapisan pencegahan yang dulu dikerjakan antivirus; Anda mengganti agent, bukan menambah agent kedua. Jalur yang lazim memakan beberapa minggu: inventarisasi endpoint dan sistem operasinya, uji coba agent di mesin tim IT sendiri, gelar dalam mode deteksi saja berdampingan dengan antivirus lama, satu-dua minggu merapikan deteksi yang berisik, lalu aktifkan pemblokiran dan pensiunkan agent lama.

Langkah yang paling sering dilewati justru yang menentukan semuanya berhasil atau tidak: menghubungkan alert ke orang yang mengawasinya sepanjang waktu. Itulah beda antara memiliki EDR dan terlindungi olehnya, dan itulah alasan kebanyakan perusahaan Indonesia membeli tool dan pengawasnya sekaligus sebagai managed EDR.

Yang kami sediakan

Penggelaran EDR terkelolaPemantauan dan triase alert 24/7Deteksi ancaman berbasis perilakuDeteksi serangan fileless dan living-off-the-landIsolasi host dan respons terpanduPerburuan ancaman lintas endpointDukungan untuk Windows, macOS, dan LinuxIntegrasi dengan SOC atau SIEM Anda yang sudah ada

Kami menggelar dan menjalankan EDR sebagai bagian dari layanan terkelola, jadi Anda mendapatkan deteksinya sekaligus orang yang membacanya, bukan satu lagi tool tanpa pengawas. Untuk alasan lengkap di balik semua ini, ditulis dari pengalaman lapangan, baca mengapa antivirus tidak cukup. Pengawasannya sendiri berada di dalam managed SOC kami, dan ketika sesuatu memang lolos, tim respons insiden kami yang menanganinya dari sana.

Referensi

  1. 1.Verizon. 2025 Data Breach Investigations Report. Verizon Business, 2025.
  2. 2.BSSN. "Lanskap Keamanan Siber Indonesia 2024." Direktorat Operasi Keamanan Siber, Badan Siber dan Sandi Negara, 2025.

Ditinjau oleh Mohit Bhansali, Head of Technology

Pertanyaan umum

Antivirus memblokir file yang dikenalinya sebagai berbahaya dengan mencocokkannya ke signature yang sudah dikenal. EDR merekam apa yang terjadi di endpoint, proses mana memulai proses lain, apa yang terhubung ke jaringan, kapan area sistem yang sensitif disentuh, lalu menandai perilaku mencurigakan bahkan ketika tidak ada file berbahaya yang terlibat. Singkatnya, antivirus menghentikan file jahat yang sudah dikenal, sedangkan EDR mendeteksi perilaku penyerang dan memungkinkan Anda meresponsnya.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.