ソニーやられちゃいましたね。しかし、やられたことに気づけるのかっていうと、まあどれだけのアクセス数があるのかわかりませんが、少なくとも単純にアクセス数の量的な変化とかで攻撃じゃん？と気づくのは難しいかもしれませんね。
今回の場合既知の脆弱性ってことだから、そんなにテク持って無くても攻略できたんじゃないかと思いますし、特異な行動になってあらわれることなく、するっと抜けたりしたかも。
ただ、何で気づいたのかはわかりませんが、情報を抜かれるという事象は一つのIP、ノード、アカウントから大量のデータを要求するリクエストがきてそれに応じてしまっているということなので、データベースへのアクセスをコントロールしているところでそのリクエストの特異性に気づくようにできたんじゃないかと思いますね。あるテーブルから10件以上のデータを引き出そうとするリクエストはおかしい、ってな感じで。
そういう仕掛けが無かったとしたら、あとはもうフォームからの入力とかそういうものの中身を吟味する仕組みをどこかに入れておく必要があると思いますが、さすがにものすごいトラフィックがありそうなサイトで中身の吟味っていうのはパフォーマンス的に厳しいのかも知れませんね。mod_securityのコアルールといってもそれなりに量がありますし。
Category:OWASP ModSecurity Core Rule Set Project - OWASP
コメントが若干入るけどSQLインジェクションだけで400行オーバーですね。
akamaiとかが使っているということですが、パフォーマンスにはどの程度の影響があるんでしょうね？
数個のルールセットで捕捉しようぜ研究してるんですが（笑）、そろそろ実証実験して数値出していきたいすなー。
まあそれはさておき、中身を吟味しないで気づくためにはそれなりに仕掛けが必要ですし、仕掛けを入れられない、無い状態ですでに運用中というサイトには後付けでWAFのようなものを入れる必要がありそうですが、そういうときにどのくらいのパフォーマンスになるのか、そういうギリギリのところでの評価データというのが社会的には欲しいところですねえ。もちろん、脆弱性を修正するというのが王道なんですが、それができない事情もいろいろありそうですしね。
こちらもご参考：Web Application Firewall（WAF）読本