Pemindaian file saja tidak cukup lagi: Bagaimana NordVPN mendefinisikan “antivirus generasi terbaru”

Masalah dengan definisi saat ini

Industri keamanan siber selalu mendefinisikan generasi antivirus berdasarkan cara mereka mendeteksi file berbahaya. Antivirus generasi awal membandingkan file dengan pola khusus (signature) serangan yang sudah dikenal. Generasi selanjutnya menambahkan heuristik, analisis perilaku, sandboxing, dan klasifikasi berbasis pembelajaran mesin.

Setiap generasi menjawab pertanyaan yang sama: Apakah file ini berbahaya? Namun, lanskap ancaman telah berubah. Sebagian besar serangan saat ini — phishing, penipuan, pencurian identitas, dan rekayasa sosial — tidak bergantung pada file berbahaya. Definisi “antivirus” saat ini belum mengikuti perkembangan tersebut.

Virus tidak lagi menjadi ancaman terbesar

Sebagian besar ancaman keamanan siber saat ini tidak melibatkan virus. Coba pikirkan apa yang sebenarnya mengancam pengguna internet:

• Penipuan kini telah berubah menjadi operasi rekayasa sosial yang canggih. Toko e-commerce palsu menggunakan halaman produk yang meyakinkan, ulasan palsu, dan alur pembayaran yang berfungsi untuk mencuri detail pembayaran. Pesan SMS penipuan menyamar sebagai layanan pengiriman, otoritas pajak, dan bank. Penipuan berbasis telepon menggunakan pemalsuan ID penelepon dan suara yang dihasilkan AI untuk memeras uang dan informasi pribadi. Tak satu pun dari serangan ini memerlukan file berbahaya untuk berhasil.
• Phishing telah berkembang jauh melampaui email dengan kesalahan ejaan seperti satu dekade lalu. Halaman phishing saat ini merupakan replika situs resmi yang sempurna hingga ke tingkat piksel, sering kali dihosting di domain yang disusupi dengan sertifikat SSL yang valid. Halaman-halaman tersebut dirancang untuk mencuri kredensial, token session, kode autentikasi multi-faktor, dan data pribadi yang digunakan untuk pemulihan akun.
• Pencurian identitas menempati peringkat teratas sebagai masalah keamanan yang paling dikhawatirkan oleh pengguna NordVPN.¹ Para penyerang dapat memperoleh akses tidak sah ke akun melalui teknik credential stuffing, pembajakan session, penggantian SIM, dan rekayasa sosial. Setelah berhasil masuk, mereka dapat mengambil alih akun dengan mengunci akses pemilik asli. Para penyerang juga dapat menggunakan data pribadi yang dicuri untuk mengambil utang kredit baru atau melakukan penipuan atas nama pemilik akun.
• Malware dan file berbahaya tetap menjadi ancaman besar. Apa yang diunduh orang dan apa yang dijalankan di perangkat mereka masih memerlukan pemeriksaan dan pengendalian. Namun, file kini hanyalah salah satu dari sekian banyak vektor serangan berbahaya.

Alat perlindungan ancaman digital yang hanya menangani file berbahaya mengabaikan sebagian besar serangan yang dihadapi pengguna.

Mendefinisikan Ulang Istilah “Antivirus”

Istilah “antivirus” berasal dari era ketika file berbahaya merupakan ancaman digital utama. Selama puluhan tahun, upaya pemasaran yang dilakukan oleh merek-merek keamanan lama telah mengubah “antivirus” menjadi istilah umum untuk perangkat lunak keamanan — sama seperti “Kleenex” yang menjadi sebutan umum untuk tisu dan “Band-Aid” untuk plester perekat. Asosiasi tersebut tidak akan hilang.

Industri keamanan perusahaanlah yang pertama kali menyadari keterbatasan perangkat lunak antivirus tradisional. Perusahaan-perusahaan keamanan siber terkemuka memperkenalkan Next Generation Anti Virus (NGAV) -anti virus generasi terbaru- untuk melengkapi atau menggantikan pemindaian file berbasis pola khusus (signature). NGAV menggunakan kombinasi deteksi perilaku dan algoritma pembelajaran mesin (machine learning) untuk mengidentifikasi ancaman, sehingga membantu mendeteksi proses berbahaya, malware tanpa file, dan perilaku eksploitasi yang sering terlewatkan oleh antivirus lama.

Untuk lingkungan perusahaan, NGAV tetap menjadi evolusi yang penting. Namun, NGAV sebagian besar dirancang untuk perangkat perusahaan yang dikelola, tim keamanan khusus, dan model ancaman yang berfokus pada kompromi titik akhir. NGAV bergantung pada telemetri perilaku yang ekstensif, yang seharusnya tidak dikumpulkan oleh produk konsumen yang mengutamakan privasi.

Oleh karena itu, istilah “antivirus” kini memiliki dua definisi — model lama yang dirancang untuk pengguna sehari-hari pada masa ketika file berbahaya merupakan ancaman utama, dan model NGAV korporat yang dirancang untuk lingkungan perusahaan yang dikelola. Definisi model lama sudah usang, sedangkan definisi model korporat tidak pernah dimaksudkan untuk pengguna individu. Keduanya tidak mencakup ancaman yang dihadapi orang-orang pada perangkat pribadi mereka saat ini.

Orang-orang masih mencari kata kunci “antivirus” padahal yang sebenarnya mereka butuhkan adalah perlindungan dari malware, phishing, pencurian identitas, penipuan, dan pengambilalihan akun. Definisi tersebut seharusnya disesuaikan dengan ancaman yang diharapkan dapat ditangani.

NordVPN mendefinisikan “antivirus generasi terbaru” sebagai alat perlindungan ancaman digital yang komprehensif. Berdasarkan definisi ini, antivirus generasi terbaru mencakup perlindungan di lima bidang:

• Perlindungan terhadap penipuan — mendeteksi situs web penipuan dan toko palsu, memberi peringatan kepada pengguna mengenai pesan SMS penipuan, mengidentifikasi panggilan mencurigakan, dan melindungi session perbankan.
• Perlindungan terhadap phishing — mengevaluasi URL, tautan email, dan konten web secara real-time untuk mendeteksi upaya pencurian kredensial sebelum mencapai pengguna.
• Perlindungan terhadap pencurian identitas dan pengambilalihan akun — memantau upaya pencurian identitas, mendeteksi pola penipuan, memindai kebocoran di dark web untuk mencari informasi pribadi yang terpapar, serta memberikan peringatan jika kredensial terkompromi. Di sisi akun: mendeteksi dan memberi peringatan tentang upaya akses tidak sah melalui credential stuffing, pembajakan session, penukaran SIM, dan rekayasa sosial, serta menandai kredensial yang lemah sebelum penyerang dapat memanfaatkannya.
• Pemblokiran pelacak dan iklan — menghapus pelacak lintas situs, skrip sidik jari, dan iklan yang mengganggu yang merusak privasi, memperlambat kinerja, dan menciptakan titik masuk tambahan untuk rekayasa sosial yang ditargetkan.
• Perlindungan file dan perangkat — memindai unduhan serta mengkarantina atau menghapus file berbahaya sebelum dapat dijalankan.

NordVPN tidak sedang menciptakan kategori antivirus yang baru — layanan ini hanya memperluas cakupannya untuk menangani ancaman-ancaman yang sudah diharapkan orang-orang dapat ditangani oleh antivirus.

Bagaimana kami mengembangkan antivirus generasi terbaru kami

Perlindungan digital yang efektif memerlukan keseimbangan antara tiga komitmen yang saling bertentangan — kami tidak membuat profil pengguna, kami menganalisis data yang membantu meningkatkan produk, dan kami merancang produk agar dapat berfungsi tanpa memerlukan perhatian pengguna.

Mengutamakan salah satu prinsip dengan mengorbankan yang lain akan menghasilkan produk yang bersifat invasif, tidak dapat diandalkan, atau terlalu rumit untuk digunakan. Produk yang dirancang berdasarkan ketiga prinsip tersebut memang lebih sulit dibuat, tetapi juga lebih mudah dipercaya.

Kami tidak membuat profil pengguna

NordVPN adalah perusahaan yang berfokus pada privasi. Pengguna kami mempercayai kami karena kami tidak memantau aktivitas mereka. Komitmen tersebut menimbulkan batasan yang ketat — sistem deteksi ancaman harus beroperasi dengan data yang lebih sedikit daripada yang biasanya dibutuhkan.

Aturan kami sederhana — hanya data yang diperlukan untuk mengidentifikasi ancaman yang dikirimkan dari perangkat. Apabila analisis harus dilakukan di server kami alih-alih di perangkat, kami menghapus segala kaitan dengan pengguna sebelum data tersebut dikirimkan.

Dalam praktiknya, hal itu berarti:

• File diperiksa berdasarkan hash jika memungkinkan, bukan berdasarkan isinya.
• Parameter query dan fragmen jalur pribadi dihilangkan dari URL sebelum dilakukan pencarian di cloud — tidak ada URL yang dikaitkan dengan pengguna tertentu.
• Cookie autentikasi di-hash, dan hanya delapan karakter pertama yang dikirimkan dari perangkat.

Skema data kami tidak memiliki kolom untuk pengenal pengguna. Artinya, perlindungan privasi tidak bergantung pada kepatuhan siapa pun terhadap aturan — sistem secara otomatis menjaminnya sesuai dengan desainnya.

Kami mengukur tanpa melihat

Deteksi ancaman tanpa pengukuran hanyalah tebakan belaka. Kita perlu mengetahui apakah klasifikasi phishing kita semakin baik, apakah sistem deteksi penipuan kita mampu mendeteksi pola-pola baru, dan di mana model-model kita gagal mendeteksi ancaman. Untuk menjawab pertanyaan-pertanyaan tersebut, diperlukan data umpan balik.

Namun, pengumpulan data umpan balik tanpa batasan justru dapat mengubah perangkat lunak keamanan menjadi perangkat lunak pengawasan. Kami menghindari risiko tersebut dengan mengukur sistem deteksi, bukan dengan mengumpulkan data pribadi. Setiap lapisan dalam arsitektur kami menghasilkan data kinerja agregat:

• Klasifikator pembelajaran mesin melaporkan tingkat deteksi dan rasio positif palsu.
• Fuzzy hashing melaporkan kecepatan klasifikasi.
• Sumber informasi intelijen ancaman melaporkan tingkat keaktualan data.

Produk ini menghitung metrik-metrik tersebut berdasarkan sampel tingkat populasi. Model-model tersebut dilatih ulang menggunakan sampel ancaman yang telah dianonimkan dan ringkasan statistik. Riwayat penelusuran pengguna sama sekali tidak dimasukkan ke dalam siklus umpan balik. Kami dapat memberi tahu Anda apakah model phishing kami semakin baik, tetapi kami tidak dapat memberi tahu Anda apa yang sedang dilakukan oleh pengguna tertentu saat model tersebut mendeteksi adanya ancaman.

Kami merancang produk agar tidak terlihat

Keamanan terbaik adalah yang tidak perlu dipikirkan oleh pengguna — tanpa konfigurasi, tanpa kelelahan akibat pemberitahuan berlebihan, dan tanpa memerlukan keahlian teknis. Untuk mengembangkan produk yang tidak terlihat oleh pengguna, kami perlu mengamati bagaimana orang-orang berinteraksi dengannya. Kami menentukan data minimum yang kami butuhkan untuk meningkatkan pengalaman pengguna dan berhenti di situ saja.

Dengan persetujuan pengguna, kami melacak:

• Informasi mengenai apakah setiap fitur diaktifkan atau dinonaktifkan serta seberapa sering fitur tersebut digunakan.
• Metrik volume — berapa banyak ancaman yang berhasil diblokir selama periode tertentu.
• Skor kepuasan pengguna yang dikumpulkan melalui survei langsung.

Tak satu pun dari titik data ini memberi tahu kita apa yang sedang dilakukan oleh pengguna tertentu. Data-data ini justru memberi tahu kita apakah produk tersebut berfungsi dengan cukup baik sehingga pengguna tidak perlu memikirkannya sama sekali.

Data pada tingkat ini memang dirancang agar tidak bersifat sensitif. Data tersebut tidak dapat digabungkan untuk merekonstruksi perilaku, menyimpulkan niat, atau membuat profil.

Pendekatan NordVPN terhadap AI: Model kecil untuk tugas-tugas tertentu

NordVPN menggunakan model pembelajaran mesin yang kecil dan khusus, yang masing-masing dilatih untuk tugas deteksi yang telah ditentukan dengan jelas. Alih-alih membangun satu model tunggal yang berusaha mengklasifikasikan semua ancaman, kami mengembangkan model yang dirancang khusus untuk kategori ancaman yang berbeda-beda:

• Model yang dilatih untuk mengevaluasi URL guna mendeteksi ciri-ciri phishing.
• Model yang difokuskan pada identifikasi pola-pola halaman e-commerce penipuan.
• Model yang menganalisis perilaku file untuk mendeteksi indikator malware.
• Model yang disesuaikan untuk mendeteksi pola-pola rekayasa sosial dalam pesan.

Beberapa model cukup ringan untuk dijalankan langsung di perangkat pengguna. Model lainnya berjalan di dalam ekstensi browser. Model yang membutuhkan daya pemrosesan lebih besar dijalankan di backend. Ketika pemrosesan dilakukan secara lokal, data yang relevan tetap berada di perangkat dan tidak dikirim ke server eksternal untuk dianalisis.

Setiap model dapat divalidasi dan diperbarui secara mandiri, sehingga ketika efektivitasnya menurun, kami dapat melacak penyebabnya. Dan karena setiap model berjalan secara terpisah, tidak ada satupun yang membutuhkan perhatian pengguna atau mengganggu pengalaman pengguna.

Pemisahan ini juga membuat pengukuran menjadi lebih akurat. Ketika model phishing khusus berkinerja buruk, kami tahu persis apa yang perlu dilatih ulang dan berdasarkan data apa. Ketika model deteksi penipuan menghasilkan false positive, kami dapat menyesuaikannya tanpa menimbulkan efek samping pada deteksi malware. Karena setiap model memiliki satu tugas saja, kami dapat mengidentifikasi dengan tepat apa yang gagal dan mengapa.

Model pembelajaran mesin bekerja dengan baik dalam lingkup yang telah ditentukan, tetapi akan gagal jika dianggap sebagai solusi yang lengkap. Model-model kami bekerja berdampingan dengan sistem berbasis aturan, umpan intelijen ancaman, dan peninjauan manual, di mana masing-masing menutupi aspek yang tidak dapat ditangani oleh yang lain.

Untuk mengklasifikasikan ancaman secara real-time di jutaan perangkat dan konteks yang berbeda, model-model kecil yang khusus dirancang merupakan pendekatan paling efektif yang telah kami temukan tanpa mengorbankan privasi pengguna.

Langkah selanjutnya

Istilah “antivirus” tidak akan hilang. Itulah cara orang memandang perlindungan digital, mencarinya, dan membelinya. Industri ini bisa saja terus mempersempit definisinya hanya pada pemindaian file dan menganggap sisa ancaman sebagai masalah pihak lain, atau mengembangkan produk yang sesuai dengan makna kata tersebut bagi para penggunanya.

Kami memilih opsi kedua. Kami telah mengembangkan satu produk yang mencakup perlindungan terhadap penipuan, deteksi phishing, pemantauan identitas, dan keamanan file — yang berlandaskan privasi, diuji secara ketat, dan dirancang untuk berfungsi tanpa mengharuskan pengguna menjadi ahli keamanan.

Alat perlindungan ancaman digital yang mencakup phishing, penipuan, pencurian identitas, dan malware — itulah yang kami yakini harus ditawarkan oleh kategori antivirus saat ini.

Referensi

¹ Šlekytė, I. (25 Juni 2025). NordVPN research reveals: One in three people fall victim to online scams. NordVPN. https://www.nordvpn.com/blog/scam-experience-research/