Pergunta/preocupação FDE baseada em hardware

Minha perguntaé basicamente o seguinte: quais são as experiências das pessoas com criptografia completa de disco baseada em hardware, especialmente do ponto de vista de auditoria de segurança?

Mais informações: Estou olhando especificamente para oSeagate Momentus FDEdirigir comSuíte Embaixada Wave (Se você tiver experiências com outras unidades de criptografia automática (SEDs) e/ou suítes de software, por favor, opine também.)

Fatos: As unidades com criptografia automática (que foram configuradas) serão bloqueadas automaticamente quando forem desligadas (desligamento ou hibernação do computador, ou apenas puxando o plugue). Uma senha, token ou qualquer outra coisa necessária para acessar qualquer dado na unidade, que é criptografada (normalmente AES-128). No entanto, uma reinicialização não faz com que o usuário precise se autenticar novamente na unidade.

A resposta que recebi do Wave é que eles forçam o modo de hibernação (em sistemas Dell com Windows), mesmo que o modo de espera seja selecionado pelo usuário. Mas estou preocupado com oseguinte cenário de ataque:

1. a máquina está ligada* (como se o usuário bloqueasse a tela e se afastasse por um momento) e então
2. alguém rouba o laptop (deixando-o ligado) e então
3. reinicia a máquina usando um disco de inicialização ou pendrive inicializável.

Implorando a pergunta:Existem maneiras de mitigar essa via de ataque além de apenas alterar a sequência de inicialização no BIOS e proteger a configuração do BIOS com senha?

* Entendo que existem muitas outras vulnerabilidades em sistemas operacionais em execução, como ataques de buffer overflow em serviços do sistema através da rede, mas acho que essa via de ataque é menos provável do que simplesmente usar um disco de inicialização (conforme descrito acima), especialmente como autocriptografia os impulsos tornam-se mais difundidos.