Нюанс про eBPF — это действительно головная боль, потому что атаки и защита используют одинаковый механизм, и отличить их реально сложно. Вся магия в корелляции событий и контексте запуска, а не в простой фильтрации сигнатур. Особенно когда злоумышленник прячется в runtime, отсканить его по классике уже не выходит. Там главное — быстро ухватить аномалии в поведении процессов и цепочках вызовов.