Pregunta/preocupación sobre FDE basada en hardware

Pregunta/preocupación sobre FDE basada en hardware

Mi preguntaes básicamente esto: ¿Cuáles son las experiencias de las personas con el cifrado de disco completo basado en hardware, especialmente desde el punto de vista de la auditoría de seguridad?

Más información: Estoy mirando específicamente elSeagate Momentus FDEconducir conSuite Embajada de Wave (Si tiene experiencia con otras unidades de autocifrado (SED) y/o paquetes de software, por favor opine también).

Hechos: Las unidades de autocifrado (que se han configurado) se bloquearán automáticamente cuando se apaguen (apagado o hibernación de la computadora, o simplemente al desconectarla). Se requiere una contraseña, un token o lo que sea para acceder a cualquiera de los datos de la unidad, que a su vez está cifrada (normalmente AES-128). Sin embargo, unreiniciar no hace que el usuario tenga que volver a autenticarse con la unidad.

La respuesta que recibí de Wave es que fuerzan el modo de hibernación (en sistemas Dell con Windows), incluso si el usuario selecciona el modo de espera. Pero me preocupa elsiguiente escenario de ataque:

  1. la máquina está encendida* (como si el usuario bloqueara su pantalla y se alejara por un momento), y luego
  2. alguien roba la computadora portátil (dejándola encendida) y luego
  3. reinicia la máquina usando un disco de arranque o una memoria USB de arranque.

Palabras:¿Existen formas de mitigar esa vía de ataque más allá de simplemente cambiar la secuencia de inicio en el BIOS y proteger con contraseña la configuración del BIOS?

* Entiendo que existen muchas otras vulnerabilidades en los sistemas operativos en ejecución, como ataques de desbordamiento de búfer en servicios del sistema a través de la red, pero encuentro que esa vía de ataque es menos probable que simplemente usar un disco de arranque (como se describe anteriormente), especialmente como autocifrado. Los impulsos se vuelven más generalizados.

Respuesta1

Optamos por bitlocker para nuestras computadoras portátiles porque no pudimos obtener una buena respuesta a esta misma pregunta de Wave, y pensamos que los mismos escenarios probablemente no serían específicos del proveedor.

Respuesta2

Puede proteger con contraseña la configuración del BIOS y quitar la unidad de CD y la llave USB de la secuencia de inicio.

De esa manera, tendrían que apagar la computadora para borrar la contraseña del BIOS (pasadores de salto en la placa base), por lo que quedarían bloqueados del HD.

información relacionada