Questão / preocupação FDE baseada em hardware

A minha pergunta é basicamente esta: Quais são as experiências das pessoas com a criptografia de disco completo baseada em hardware, especialmente do ponto de vista de auditoria de segurança?

Mais informações: Estou analisando especificamente a unidade Momentus FDE da Seagate com Embassy Suite da Embassy (Se você tiver experiências com outras unidades de autocriptografia (SEDs) e / ou suítes s / w, os pls opinarão também.)

Fatos: As unidades de autocriptografia (configuradas) serão bloqueadas automaticamente quando desligadas (desligamento ou hibernação do computador ou apenas o plugue). Uma senha, token ou o que for necessário para acessar qualquer um dos dados na unidade, que é criptografado (geralmente AES-128). No entanto, uma reinicialização não faz com que o usuário tenha que se autenticar novamente com a unidade .

A resposta que recebi do Wave é que eles forçam o modo de hibernação (em sistemas Dell com Windows), mesmo que o modo de espera seja selecionado pelo usuário. Mas estou preocupado com o seguinte cenário de ataque:

1. a máquina está ligada * (como se o usuário bloqueia a tela e se afasta por um momento) e, em seguida,
2. alguém rouba o laptop (deixando-o ligado) e, em seguida,
3. reinicia a máquina usando um disco de inicialização ou um pendrive inicializável.

Implorando a pergunta: Existem maneiras de atenuar essa avenida de ataque além de apenas alterar a sequência de inicialização no BIOS & proteger a configuração da BIOS por senha?

* Eu entendo que existem muitas outras vulnerabilidades em sistemas operacionais em execução, como ataques de estouro de buffer nos serviços do sistema através da rede, mas acho que essa avenida de ataque é menos provável do que simplesmente usar um disco de inicialização (conforme descrito acima) , esp como unidades de auto-criptografia se tornam mais difundidas.