С eBPF в Linux реально интересная шиза — защита и атаки идут по одному пути, и это путает всю видимость. Часто защита просто не успевает среагировать, когда злоумышленник уже встроился в runtime. Да и вся пост-эксплуатация живёт на привычных инструментах, которые и так повсеместно используются, потому с ними сложно бороться через стандартные сигнатуры. Корреляция событий — вот что сейчас спасает.