Брутфорс атаки

В прошлом году в логи ИБ одного клиента сыпались брутфорсы: кто-то методично подбирал пароли к корпоративным ресурсам (почта, CRM, RDP). Остановили вручную, но осадочек остался - а если бы подобрали? Симптомы лечили, а корень (слабые учётки сотрудников) копать не стали. Теперь вопрос шире.

Поделитесь: что помогает защититься от постоянных подозрительных входов и брутфорсов? Какие меры на входе (rate limiting, MFA, CAPTCHА) реально отсекают 90%+ атак? И главное - переходите ли вы от симптомов к защите самих учётных записей, чтобы атаки не доходили до домена?