Pregunta/preocupación sobre FDE basada en hardware

Mi preguntaes básicamente esto: ¿Cuáles son las experiencias de las personas con el cifrado de disco completo basado en hardware, especialmente desde el punto de vista de la auditoría de seguridad?

Más información: Estoy mirando específicamente elSeagate Momentus FDEconducir conSuite Embajada de Wave (Si tiene experiencia con otras unidades de autocifrado (SED) y/o paquetes de software, por favor opine también).

Hechos: Las unidades de autocifrado (que se han configurado) se bloquearán automáticamente cuando se apaguen (apagado o hibernación de la computadora, o simplemente al desconectarla). Se requiere una contraseña, un token o lo que sea para acceder a cualquiera de los datos de la unidad, que a su vez está cifrada (normalmente AES-128). Sin embargo, unreiniciar no hace que el usuario tenga que volver a autenticarse con la unidad.

La respuesta que recibí de Wave es que fuerzan el modo de hibernación (en sistemas Dell con Windows), incluso si el usuario selecciona el modo de espera. Pero me preocupa elsiguiente escenario de ataque:

1. la máquina está encendida* (como si el usuario bloqueara su pantalla y se alejara por un momento), y luego
2. alguien roba la computadora portátil (dejándola encendida) y luego
3. reinicia la máquina usando un disco de arranque o una memoria USB de arranque.

Palabras:¿Existen formas de mitigar esa vía de ataque más allá de simplemente cambiar la secuencia de inicio en el BIOS y proteger con contraseña la configuración del BIOS?

* Entiendo que existen muchas otras vulnerabilidades en los sistemas operativos en ejecución, como ataques de desbordamiento de búfer en servicios del sistema a través de la red, pero encuentro que esa vía de ataque es menos probable que simplemente usar un disco de arranque (como se describe anteriormente), especialmente como autocifrado. Los impulsos se vuelven más generalizados.