Ancaman siber yang kerap berkembang pesat menuntut pengguna lebih berhati-hati dengan perangkat kerjanya. Hampir 30 tahun terakhir penggunaan Anti-Virus telah berhasil mengurangi risiko eksploitasi serangan siber terhadap perangkat pekerja. Namun cepatnya perkembangan ancaman siber menuntut suatu hal yang lebih, khususnya memahami adanya aktivitas mencurigakan pengguna yang dapat berujung kepada serangan siber lainnya. Maka dari itu muncullah konsep Endpoint Detection & Response (EDR), yakni suatu perangkat lunak yang dipasangkan pada perangkat kerja untuk mendeteksi serangan siber dan melakukan pemblokiran dari perangkat kerja secara langsung. Banyak yang juga yang menyebutkan EDR sebagai Next-Generation Anti-Virus (NGAV). Lantas bagaimana cara EDR bekerja ?
Baca Juga: Istilah-Istilah dalam Cybersecurity Part 2
Apa itu Endpoint Detection and Response (EDR)?
Endpoint Detection and Response (EDR) adalah teknologi keamanan yang dirancang untuk mendeteksi, menganalisis, dan merespons ancaman yang menyerang endpoint atau perangkat kerja, seperti komputer, laptop, dan perangkat seluler yang terhubung ke jaringan perusahaan. EDR berfungsi untuk mengidentifikasi pola perilaku yang mencurigakan, menganalisis ancaman, dan memberikan respon yang cepat terhadap potensi serangan. Dengan demikian, EDR tidak hanya berperan sebagai alat pertahanan, tetapi juga sebagai sistem monitoring yang dapat memberikan wawasan lebih dalam mengenai aktivitas yang terjadi di endpoint.
Bagaimana Cara Kerja EDR?
EDR bekerja dengan cara yang berbeda dari antivirus tradisional. Berikut adalah beberapa mekanisme utama dalam sistem EDR:
1. Pemantauan Berkelanjutan (Continuous Monitoring)
EDR memantau setiap aktivitas yang terjadi di endpoint secara real-time. Semua aktivitas pengguna, termasuk file yang diakses, proses yang berjalan, dan koneksi jaringan, dicatat dan dianalisis untuk mendeteksi potensi ancaman.
2. Analisis Perilaku (Behavioral Analysis)
– EDR menggunakan analisis perilaku untuk mendeteksi tindakan yang mencurigakan atau tidak wajar. Berbeda dengan antivirus yang hanya mendeteksi ancaman berdasarkan tanda tangan malware, EDR berfokus pada pola aktivitas yang menyimpang dari kebiasaan normal. Misalnya, jika suatu akun pengguna tiba-tiba mencoba mengakses data sensitif yang tidak pernah diakses sebelumnya, EDR akan mencatat aktivitas ini sebagai tindakan mencurigakan.
3. Deteksi Anomali (Anomaly Detection)
Salah satu fitur unggulan EDR adalah kemampuannya untuk mendeteksi anomali atau hal-hal yang di luar kebiasaan. Teknologi ini memungkinkan sistem untuk mengenali aktivitas yang berbeda dari pola normal, sehingga mampu mendeteksi zero-day attack atau serangan yang belum memiliki tanda tangan malware yang dikenal.
4. Respon Otomatis (Automated Response)
Setelah ancaman terdeteksi, EDR memiliki kemampuan untuk memberikan respon otomatis. Misalnya, jika EDR mendeteksi malware, sistem dapat secara otomatis mengisolasi perangkat yang terinfeksi dari jaringan utama untuk mencegah penyebaran lebih lanjut.
5. Integrasi dengan Threat Intelligence
EDR sering kali terintegrasi dengan database threat intelligence yang menyediakan informasi terkini mengenai ancaman siber global. Dengan pembaruan ini, EDR dapat terus mengidentifikasi teknik dan pola serangan terbaru.
Mengapa EDR Bisa Disebut Sebagai “Anti-Virus” Berdasarkan Kebiasaan Pengguna
EDR berbeda dengan antivirus konvensional yang hanya mendeteksi dan menghapus malware yang sudah dikenal. EDR lebih proaktif karena berfungsi dengan cara menganalisis kebiasaan dan pola perilaku pengguna di endpoint. Dengan mengamati aktivitas pengguna, EDR mampu mengenali ancaman yang bahkan tidak memiliki tanda tangan malware. Misalnya, jika seseorang tiba-tiba mulai mengunduh data dalam jumlah besar atau mengakses file yang tidak biasa diakses, EDR akan menganggap ini sebagai anomali dan memberikan peringatan.
Pendekatan berbasis kebiasaan ini membuat EDR lebih unggul dalam mengidentifikasi ancaman yang belum pernah dikenal sebelumnya, termasuk serangan fileless (serangan tanpa file) atau spear-phishing yang sering kali lolos dari deteksi antivirus tradisional.
