La respuesta depende de tu modelo de amenaza. Si el sueño o el apagado es mejor en su situación específica depende de muchos factores. Sin más información, esto es lo mejor que puedo hacer.
Suspendido
Hay cuatro tipos de suspensión (suspensión) definidos por ACPI , de S1 a S4.
- S1: la memoria caché de la CPU se vacía y la CPU se detiene. También se llama Power on Suspend.
- S2: el caché del procesador sucio se descarga a la RAM y la CPU se apaga.
- S3: solo se activan la RAM y los subsistemas necesarios. También se llama Suspender a RAM.
- S4: la RAM se guarda en el disco y el sistema se apaga. También se llama Suspender en disco.
El modo "inactivo" o modo de espera típico en una computadora moderna es S3, así que supongo que es de lo que estás hablando. Cuando la memoria permanece encendida, se guarda todo su contenido, incluida información potencialmente confidencial como contraseñas o claves de cifrado. Esto puede hacer que el sistema sea más vulnerable a un ataque de arranque en frío o ataque DMA . Esto solo es un problema si su modelo de amenaza implica la recuperación pasiva del contenido de la memoria para un atacante con acceso físico.
Hay otra cosa que recordar con S3 sleep. Cuando un sistema está encendido, o cuando un sistema se reanuda desde el modo de espera, vuelve a leer las tablas ACPI, ejecutando bytecode AML . Estos son datos ejecutables almacenados en su BIOS y ejecutados por el kernel de su sistema. Como resultado, un sistema cuyo BIOS ha sido modificado para contener tablas ACPI maliciosas se ejecutará cuando un sistema se encienda o cuando se reanude desde el modo de espera. Si su modelo de amenaza implica manipular su sistema mientras aún está en línea, el modo de espera no necesariamente retrasará el inicio del ataque.
Apagado
Cuando el sistema está apagado, se corta toda la alimentación a todos los subsistemas. Cuando el sistema se vuelve a encender, el BIOS y el disco se vuelven a leer. Cualquier cambio en el BIOS o en el disco afectará al sistema en este momento. Se requieren soluciones como BootGuard para proporcionar integridad y evitar este resultado.
Si el disco duro es robado, se pueden leer todos los datos presentes en él. Para evitar esto, debe usar el cifrado completo del disco, por ejemplo, utilizando VeraCrypt o Bitlocker. Cuando se hace esto, su sistema tiene datos en reposo de seguridad. Cualquier información que se encuentre en su disco duro será ilegible sin la clave adecuada. Bitlocker puede vincular aún más esto a su computadora física mediante usando su TPM , asegurándose de que extraer el disco duro y conocer la clave no sea suficiente para obtener el contenido.
Cuando un sistema está apagado, el estado volátil de la computadora se pierde. Esto eliminará cualquier malware residente en la memoria, aunque ese tipo de malware es no es tan común de todos modos. Sin embargo, este comportamiento es útil para eliminar muchos errores que se acumulan a medida que aumenta el tiempo de actividad. En estos casos, apagarlo y encenderlo de nuevo realmente funciona. El reinicio completo de una computadora es como dormir bien por la noche.
Modelado de amenazas
Supongo que su modelo de amenaza implica que los atacantes obtengan información de su computadora de una manera u otra, en lugar de tener en cuenta más ataques esotéricos como la modificación en vivo de las tablas ACPI en una máquina suspendida. Si este es el caso, es probable que simplemente desee asegurarse de que todos sus datos permanezcan confidenciales. La respuesta para ese modelo de amenaza es que el cierre es "más seguro". Hay algunas cosas que debes hacer:
- Apague su sistema cuando no lo esté usando para evitar dejar secretos en la memoria.
- Use el cifrado completo del disco para garantizar la seguridad de los datos en reposo.
- Use hardware con BootGuard para verificar la integridad de su firmware.