img

Uji EDR dengan MITRE ATT&CK: Cara Mengukur Efektivitasnya Secara Objektif


2026-07-14 - Arfadia


MITRE ATT&CK adalah knowledge base global yang mendokumentasikan taktik, teknik, dan prosedur (TTP) aktor ancaman nyata berdasarkan observasi insiden siber yang benar-benar terjadi di seluruh dunia. 

Di Indonesia, framework ini menjadi rujukan paling objektif untuk menjawab satu pertanyaan yang sering luput: apakah solusi EDR yang sudah dibeli benar-benar mampu mendeteksi serangan yang relevan dengan kondisi ancaman hari ini, atau hanya terlihat bekerja di atas kertas.

Banyak organisasi membeli EDR, mengonfigurasinya seadanya, lalu menganggap infrastrukturnya sudah aman. Ini asumsi yang mahal. 

EDR adalah platform keamanan yang berjalan di setiap endpoint, mengumpulkan telemetri aktivitas sistem secara kontinu, lalu mendeteksi pola perilaku mencurigakan  bukan sekadar pemindai file yang diperbarui secara berkala. 

Perbedaan mendasar ini yang menentukan mengapa cara mengukur efektivitasnya pun berbeda dari cara menguji antivirus konvensional.

EDR yang belum di-tune terhadap lingkungan spesifik perusahaan kerap memiliki detection coverage jauh di bawah ekspektasi. 

Tanpa pengujian terstruktur, tim keamanan tidak pernah tahu teknik serangan mana yang sebenarnya menjadi blind spot mereka, sampai blind spot itu dieksploitasi penyerang sungguhan.

Skala ancamannya nyata. BSSN mencatat sekitar 122,79 juta anomali trafik siber di Indonesia hanya pada periode Januari–Agustus 2024, dengan malware mendominasi hampir 60% dari seluruh anomali. 

Tren ini berlanjut: sepanjang Januari–Juli 2025, BSSN mencatat 3,64 miliar anomali trafik, dengan sekitar 83,68% berbasis malware. 

Di tingkat global, IBM Cost of a Data Breach Report 2025 melaporkan rata-rata biaya pemulihan per insiden sebesar USD 4,44 juta, turun 9% dari USD 4,88 juta pada 2024 berkat deteksi dan kontainmen yang lebih cepat. 

Pesannya jelas: kecepatan dan kedalaman deteksi EDR adalah variabel risiko bisnis yang terukur, dan itulah yang menjadi dasar pendekatan evaluasi yang diterapkan Sysware bersama kliennya di Indonesia. 

Poin Utama Artikel

  • MITRE ATT&CK adalah framework berbasis observasi nyata yang memetakan TTP penyerang ke dalam 14 taktik dan ratusan teknik, dipakai sebagai standar pengujian EDR secara global.

  • BSSN mencatat 3,64 miliar anomali trafik di Indonesia pada Januari–Juli 2025; biaya breach global turun ke USD 4,44 juta (IBM 2025), ransomware muncul di 44% breach, dan credential theft menjadi vektor akses awal pada 22% insiden (Verizon DBIR 2025).

  • Pengujian EDR berbasis ATT&CK mengukur detection coverage, alert fidelity, time to detect, dan response capability secara metodis terhadap TTP penyerang nyata.

  • Hasil pengujian mengidentifikasi blind spot dalam rule deteksi, sehingga tuning konfigurasi dan keputusan pengadaan dapat dilakukan lebih tepat sasaran.

  • Purple team exercise berbasis ATT&CK dengan siklus gap analysis dan retest berkala adalah pendekatan paling terstruktur untuk memvalidasi kematangan EDR.


Mengapa Efektivitas EDR Harus Diuji, Bukan Diasumsikan


Membeli EDR dari vendor tier-1 tidak otomatis berarti organisasi terlindungi secara optimal. Setiap lingkungan produksi punya kombinasi unik sistem operasi, konfigurasi endpoint, aplikasi bisnis, dan policy keamanan yang memengaruhi cara EDR beroperasi. 

Produk yang gemilang di benchmark lab vendor belum tentu sama efektifnya di atas fleet endpoint produksi yang beragam dan penuh pengecualian.

Faktor konfigurasi sering menjadi sumber masalah yang tak terlihat. Fitur respons seperti automated network isolation, process termination, atau rollback umumnya tidak aktif secara default dan menuntut policy yang dikonfigurasi eksplisit. 

Apa kepanjangan dari Att&ck?

Istilah “ATT&CK” adalah akronim dari Taktik, Teknik, dan Pengetahuan Umum yang Bersifat Adversarial 

Tanpa pengujian, tim keamanan tidak tahu apakah fitur ini benar-benar berjalan saat dibutuhkan, atau hanya tercantum sebagai entri dalam daftar lisensi.

Pengujian juga mengekspos masalah alert fatigue. EDR yang terlalu sensitif menghasilkan false positive tinggi dan menguras kapasitas SOC. Sebaliknya, EDR yang terlalu permisif menghasilkan false negative yang membiarkan TTP berbahaya lolos. 

Pergeseran ini berbeda secara mendasar dari cara kita dulu menguji antivirus software di mana memasukkan sample malware ke folder dan melihat apakah ia terdeteksi sudah dianggap cukup. 

Pengujian EDR modern membutuhkan simulasi perilaku penyerang yang lengkap, bukan sekadar eksekusi file berbahaya.

Titik keseimbangan di antara keduanya hanya bisa ditemukan lewat pengujian yang terstruktur dan berulang, bukan lewat asumsi. 

Bukan kebetulan bahwa MITRE ATT&CK Evaluations Enterprise 2025 secara eksplisit merombak metodologinya agar lebih menekankan high-fidelity alert yang memberi konteks actionable bagi tim SOC, justru untuk menekan alert fatigue.


Struktur MITRE ATT&CK dan Cara Membacanya untuk Uji EDR

MITRE ATT&CK dikembangkan oleh MITRE Corporation dan tersedia gratis di attack.mitre.org. Framework ini memiliki tiga matriks utama: Enterprise yang mencakup Windows, macOS, Linux, dan kini cloud; Mobile untuk iOS dan Android; serta ICS untuk sistem kontrol industri.

Strukturnya bertumpu pada dua dimensi: taktik dan teknik. Keduanya bekerja berpasangan untuk menggambarkan satu serangan secara utuh.

Taktik menjawab pertanyaan "apa yang ingin dicapai penyerang". Cakupannya mulai dari Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Command and Control, Exfiltration, hingga Impact.

Teknik menjawab "bagaimana penyerang melakukannya", lengkap dengan sub-teknik yang lebih spesifik. Sebagai contoh, taktik Credential Access dapat dicapai melalui T1003 (OS Credential Dumping), dengan sub-teknik T1003.001 yang berfokus pada ekstraksi dari LSASS Memory menggunakan tools seperti Mimikatz.

Basis empiris inilah yang membedakan MITRE ATT&CK dari framework keamanan lain. Setiap teknik yang terdokumentasi merujuk pada insiden nyata yang benar-benar diobservasi, sehingga relevansinya terhadap ancaman aktual jauh lebih tinggi dibanding skenario teoretis.

Emulasi adversari yang dipakai MITRE pun mengikuti perilaku kelompok nyata. Pada round 2025, misalnya, skenario yang diuji terinspirasi dari grup kriminal finansial Scattered Spider dan aktor espionase Mustang Panda.

Satu hal yang sering membatasi ruang lingkup pengujian EDR berbasis ATT&CK adalah fakta bahwa EDR secara native hanya melihat layer endpoint. Di sinilah relevansi XDR adalah untuk dipahami sebelum merancang scope pengujian. 

XDR adalah arsitektur yang mengintegrasikan sinyal dari endpoint, email, network, cloud, dan identitas ke dalam satu platform analisis terpusat. 

Sehingga teknik serangan yang melompat antar-layer misalnya dari phishing email ke lateral movement di endpoint lalu ke eksfiltrasi data cloud bisa diuji dan dikorelasikan dalam satu siklus evaluasi yang kohesif.


6 Parameter Kunci dalam Evaluasi EDR Berbasis MITRE ATT&CK

Sebelum menjalankan simulasi, tetapkan dulu metrik evaluasinya. Pengujian tanpa parameter yang terdefinisi hanya menghasilkan data yang tidak bisa dijadikan dasar keputusan.

  1. Detection Coverage

Mengukur berapa persen teknik yang diuji berhasil dideteksi. MITRE ATT&CK Evaluations mengkategorikan kualitas deteksi ke dalam lima tingkat: None, Telemetry (data mentah tanpa alert), General (alert tanpa konteks), Tactic, dan Technique. 

Coverage tinggi dengan kualitas rendah tetap menghasilkan alert yang sulit ditindaklanjuti analis SOC.

  1. Alert Fidelity

Mengukur seberapa informatif setiap alert. Alert yang berguna menjelaskan teknik yang terdeteksi, proses yang terlibat, command line yang dieksekusi, serta posisinya dalam kill chain. Alert generik tanpa konteks memaksa investigasi manual yang memperpanjang MTTR.

  1. Time to Detect (TTD)

Selisih waktu dari eksekusi teknik hingga alert muncul di console. Dalam skenario ransomware, selisih satu menit bisa menjadi pembeda antara satu endpoint terinfeksi dan seluruh shared drive terenkripsi.

  1. Response Capability

Memverifikasi bahwa fitur isolasi, kill process, dan file quarantine benar-benar aktif dan berfungsi sesuai policy, bukan sekadar tersedia secara lisensi.

  1. False Negative Rate

Informasi paling kritis: teknik mana yang lolos tanpa terdeteksi. Setiap false negative perlu dianalisis akar penyebabnya, apakah karena keterbatasan produk, konfigurasi yang salah, atau exclusion rule yang terlalu longgar.

  1. Visibility Lintas Layer

Memverifikasi integrasi EDR dengan SIEM untuk korelasi log dan SOAR untuk orkestrasi respons otomatis, memastikan EDR tidak beroperasi sebagai silo.

Parameter ini juga menjadi titik di mana banyak organisasi menyadari kebutuhan akan MDR: bukan karena teknologinya kurang, melainkan karena mengoperasikan integrasi SIEM-SOAR-EDR secara efektif membutuhkan analis berpengalaman yang bekerja sepanjang waktu. 

MDR mengisi celah itu memastikan setiap sinyal dari layer integrasi ini tidak sekadar dikirim, tetapi benar-benar dibaca, divalidasi, dan ditindaklanjuti dalam jendela waktu yang relevan.


Tabel Evaluasi: Parameter Uji EDR dengan MITRE ATT&CK

Parameter Evaluasi Definisi Metrik Pengukuran Standar Industri (Enterprise) Implikasi jika Tidak Terpenuhi
Detection Coverage Persentase teknik ATT&CK yang terdeteksi (Terdeteksi / total diuji) × 100% >80% untuk teknik high-risk Blind spot terhadap TTP aktif kelompok ransomware
Detection Quality Level konteks alert: None / Telemetry / General / Tactic / Technique Distribusi kategori dari seluruh alert Mayoritas di level Tactic atau Technique Alert fatigue; triase tidak efektif
Time to Detect (TTD) Waktu dari eksekusi teknik hingga alert muncul Rata-rata TTD per teknik (detik/menit) <60 detik untuk teknik high-risk Jendela waktu lebar untuk lateral movement
False Positive Rate Persentase alert yang bukan ancaman nyata (False positive / total alert) × 100% <10% dari total volume alert Alert fatigue; ancaman nyata terabaikan
Response Capability Efektivitas fitur isolasi, kill process, quarantine Verifikasi per fitur: aktif / partial / tidak aktif Semua fitur core aktif dan terverifikasi Deteksi tanpa containment; serangan tetap menyebar
Lateral Movement Detection Coverage teknik gerakan antar-host Coverage teknik T1021, T1550, dst. >75% teknik Lateral Movement terdeteksi Ransomware menyebar sebelum dihentikan
Sumber: MITRE ATT&CK Evaluations Enterprise 2025 (evals.mitre-engenuity.org), NIST SP 800-61r3, Gartner Market Guide for EDR


5 Langkah Menguji EDR dengan MITRE ATT&CK secara Metodis

Langkah 1: Tentukan Profil Risiko dan Scope Pengujian

Tidak semua teknik ATT&CK perlu diuji sekaligus. Pilih teknik yang paling relevan dengan profil ancaman organisasi. Sektor keuangan perlu memprioritaskan Credential Access (T1003, T1555) dan Exfiltration. 

Organisasi dengan remote workforce besar harus mencakup Initial Access via phishing (T1566) dan abuse of remote services (T1021). 

Prioritas ini bukan tebakan: Verizon DBIR 2025 menempatkan kredensial curian sebagai vektor akses awal pada 22% breach, untuk tahun kedua berturut-turut. Gunakan MITRE ATT&CK Navigator di attack.mitre.org untuk memetakan scope secara visual.

Hasil pengujian hanya bermakna jika platform EDR yang diuji benar-benar sesuai dengan kebutuhan lingkungan. Salah satu pertimbangan yang sering muncul pada tahap ini adalah pemilihan vendor dan ekosistem dukungan lokalnya. 

Bitdefender, misalnya, secara konsisten muncul dalam shortlist evaluasi teknis berkat hasil tinggi di MITRE ATT&CK Evaluations Enterprise dan AV-TEST

Namun kualitas produk saja tidak cukup aspek operasional seperti dukungan teknis lokal, pemahaman regulasi Indonesia, dan respons insiden berbahasa Indonesia sama pentingnya. 

Di sinilah peran distributor Bitdefender Indonesia menjadi relevan secara langsung: mitra resmi lokal memastikan organisasi tidak hanya mendapatkan lisensi, tetapi juga dukungan yang dibutuhkan untuk mengoperasikan dan mengoptimalkan platform EDR sesuai standar keamanan nasional yang berlaku.

Langkah 2: Siapkan Lab yang Merepresentasikan Produksi

Pengujian tidak boleh dijalankan di lingkungan produksi. Siapkan lab dengan sistem operasi, versi aplikasi, konfigurasi jaringan, dan policy EDR yang identik dengan produksi. 

EDR harus dikonfigurasi dengan policy operasional sesungguhnya, bukan mode default atau konfigurasi demo. Inilah satu-satunya cara memastikan hasil uji mencerminkan postur keamanan nyata, bukan kondisi laboratorium yang dipoles.

Langkah 3: Eksekusi Simulasi menggunakan Adversary Emulation Tools

Atomic Red Team dari Red Canary menyediakan koleksi tes yang dipetakan langsung ke ID teknik ATT&CK, dieksekusi via modul Invoke-AtomicRedTeam. 

CALDERA dari MITRE menyediakan platform otomatisasi yang mendukung simulasi kill chain multi-teknik secara berurutan. Semua simulasi menggunakan benign payload yang tidak merusak sistem, tetapi cukup realistis untuk memicu deteksi EDR seperti serangan sungguhan.

Langkah 4: Observasi, Scoring, dan Gap Analysis

Tim red mencatat setiap teknik yang dieksekusi beserta timestamp-nya. Tim blue mencatat alert yang muncul, waktu kemunculannya, dan kualitas konteksnya, tanpa mengetahui teknik apa yang sedang dijalankan. 

Scoring dilakukan dengan membandingkan catatan kedua tim. Teknik yang tidak menghasilkan alert dicatat sebagai false negative dan menjadi prioritas utama gap analysis.

Langkah 5: Tuning dan Retest Berkala

Hasil pertama pengujian biasanya mengungkap gap yang dapat diperbaiki lewat tuning rule, penyesuaian exclusion list, atau aktivasi fitur yang belum dinyalakan. Setelah tuning, lakukan retest pada teknik yang sebelumnya lolos. 

Siklus ini perlu diulang minimal setiap 6 bulan, atau segera setelah insiden keamanan maupun pembaruan mayor EDR. 

Bukti bahwa lanskap teknik terus bergeser terlihat dari MITRE sendiri, yang pada Desember 2025 merilis round evaluasi enterprise terbaru dengan menambah skenario cloud dan deteksi reconnaissance untuk pertama kalinya. 

Pengujian yang baik harus mengikuti pergeseran ini, bukan berhenti pada konfigurasi awal.


Membangun Kapabilitas Validasi EDR bersama Sysware


Pengujian EDR berbasis MITRE ATT&CK bukan aktivitas satu kali yang selesai begitu laporan dikirim. Ini proses berkelanjutan yang mencerminkan realitas ancaman yang terus berevolusi. 

Setiap siklus pengujian menghasilkan data tentang postur keamanan aktual: teknik mana yang terdeteksi, mana yang menjadi blind spot, dan mana yang membutuhkan kontrol kompensasi tambahan.

Bagi tim yang baru memulai program evaluasi ini, kurva belajarnya bisa curam, mulai dari menyiapkan lab yang representatif, memilih teknik yang relevan dengan profil risiko, sampai menerjemahkan hasil scoring menjadi keputusan tuning dan pengadaan. 

Di titik inilah bermitra dengan penyedia layanan yang berpengalaman dalam adversary emulation dan gap analysis dapat memangkas waktu secara signifikan, sekaligus menghindari kesalahan metodologis yang membuat hasil uji menyesatkan.

Sysware menyediakan layanan pengujian dan optimasi EDR berbasis MITRE ATT&CK untuk organisasi yang ingin membangun kapabilitas validasi keamanan yang terukur di Indonesia, mulai dari perancangan scope berbasis profil risiko, eksekusi purple team exercise, hingga gap analysis dan retest berkala. 

Pendekatan ini memastikan investasi EDR yang sudah dikeluarkan benar-benar berbanding lurus dengan kemampuan deteksi dan respons di lapangan.

Jika Anda ingin membuktikan, bukan sekadar mengasumsikan, bahwa EDR Anda mendeteksi teknik yang benar-benar dipakai penyerang, tim Sysware dapat merancang purple team exercise dan gap analysis yang sesuai profil risiko Anda. 

Hubungi kami untuk memulai dari pemetaan scope pengujian pertama Anda.


FAQ

  1. Bagaimana cara menguji EDR dengan MITRE ATT&CK dan dari mana harus mulai?

Mulai dari MITRE ATT&CK Navigator untuk memetakan teknik yang relevan dengan profil risiko organisasi. Gunakan Atomic Red Team atau CALDERA di lab terisolasi untuk simulasi, lalu catat alert, waktu deteksi, dan kualitas konteksnya untuk menemukan gap. 

  1. Apa beda detection coverage dan detection quality dalam evaluasi EDR?

Coverage mengukur berapa persen teknik menghasilkan alert; quality mengukur seberapa informatif alert itu. Coverage tinggi dengan quality rendah menghasilkan alert generik yang tetap membutuhkan investigasi manual panjang, sehingga MTTR tidak benar-benar membaik. 

  1. Seberapa sering pengujian EDR berbasis MITRE ATT&CK perlu dilakukan?

Minimal setiap 6 bulan, ditambah setelah onboarding EDR baru, pembaruan major sistem, insiden keamanan, atau saat MITRE merilis versi framework baru yang relevan. 


Sumber

  1. https://bssn.go.id/ 

  2. https://attack.mitre.org/ 

  3. https://evals.mitre-engenuity.org/enterprise/ 

  4. https://www.cisa.gov/stopransomware/ransomware-guide 

  5. https://doi.org/10.6028/NIST.SP.800-61r3 

  6. https://www.ibm.com/reports/data-breach 

  7. https://github.com/redcanaryco/atomic-red-team 

  8. https://www.verizon.com/business/resources/reports/dbir/

Back to all news