Esta es una gran pregunta y creo que su razonamiento es sólido: las actualizaciones regulares generalmente significan que el software tendrá una mejor postura de seguridad. La otra cara de esta moneda es que el software que no recibe actualizaciones regulares es perfecto (no es posible) o está descuidado. Lo posterior es mucho más probable. Así que tus instintos están funcionando :)
La reputación de la compañía o el proyecto de código abierto que proporciona el software en cuestión también es un factor importante aquí. Esto es especialmente cierto si el software en cuestión es propietario, ya que tendrá que confiar en que el proveedor sabe lo que está haciendo y tiene buenas prácticas de seguridad (que incluyen el envío de actualizaciones periódicas). Una búsqueda rápida en la web puede ayudarlo aquí, ya que puede buscar vulnerabilidades conocidas en el software que está utilizando.
Sin embargo, tenga cuidado: solo porque las vulnerabilidades no se conozcan públicamente no significa que no existan. Esto a menudo es solo una buena indicación de que el producto no se usa ampliamente y que nadie lo está atacando y publicando sus resultados. Lo que realmente desea aquí es un historial de vulnerabilidades que se divulgarán y que el producto se actualizará de manera oportuna (rápidamente).
También asegúrese de saber qué interfaces está exponiendo a Internet. Las cajas NAS siempre son compatibles con las interfaces de usuario web como usted menciona, pero también tienen toneladas de interfaces para la integración "nativa" con sistemas Windows / OSX / Linux como CFIS, NFS, etc. Exponer interfaces como éstas a Internet tiene diferentes implicaciones ... NO autenticación incorporada!
Entonces, para responder a su pregunta directamente: lo desaconsejaría encarecidamente que exponga la interfaz de usuario web de un dispositivo NAS doméstico como el que menciona a Internet. Yo compararía esto con la exposición de la interfaz de administración en un servidor (como las interfaces ILO / IPMI) a Internet y la historia reciente ha demostrado que solo un poco de pinchazo puede descubrir un montón de problemas en las implementaciones populares de IPMI: enlace
Como siempre, debe equilibrar los riesgos que está asumiendo en proporción a los datos que está protegiendo. Si no tiene nada sensible en este dispositivo y todo se respalda en otro lugar, las implicaciones de un compromiso son menores. Solo puede borrarlo y restaurarlo si lo necesita (es decir, si nota que se ha comprometido). Por otro lado, si está colocando datos confidenciales en esta cosa (negocio, información de identificación personal, etc.), entonces un compromiso será más perjudicial para usted o su negocio.
En esta situación, en mi humilde opinión, lo "correcto" es configurar una buena VPN y requerir que todos los accesos al NAS pasen por la VPN. Puede hacer esto con una VPN de potencia industrial o algo tan simple como un túnel y proxy SSH. Personalmente lo hago más tarde y es suficiente para mis necesidades, pero YMMV.
Espero que esto ayude!