Esto es algo así como una pregunta filosófica: "¿es útil el control X?" Y, como señala la mejor respuesta, también debe considerar "¿cuáles son los costos (soporte al cliente, exenciones a los documentos, soporte al sistema, soporte al monitoreo y costos directos, licencias, etc.) del control X?" / p>
Cualquier cosa es útil en ciertos contextos. Es una buena idea preguntarse en qué contexto se encuentra. A veces, el contexto es de conformidad: está implementando el control X para cumplir con un requisito particular. "Tengo que mover mi puerto ssh porque la política del sistema prohíbe a los oyentes en el puerto 22". Luego, hágalo, solicite una excepción o trabaje para cambiar la política. [Eso sería, imho, una política imprudente.]
Aquí, el contexto es probablemente "Soy un tipo aleatorio, con un host en una red no controlada, y no quiero perder el control de mi caja". Los ataques siempre tienen una fase de investigación: si la investigación es "enviar un SYN en el puerto 22 y ver quién responde", entonces está protegiendo contra ese vector de amenaza específico. (Si la investigación es "realizar un barrido de puertos, recoger pancartas y ver si aparece algo interesante", entonces su control no tiene ningún efecto). Pero ahora ha hecho un gran trabajo para usted mismo, si está utilizando una herramienta. para conectarlo al servidor, necesita descubrir cómo trabajar en ese puerto no estándar, y con algunas herramientas, eso podría no ser posible. En general, y en este contexto, no recomendaría cambiar los puertos.
Uno de los beneficios señalados fue la reducción de los eventos de registro asociados con falsos positivos. En realidad me parece que un negativo! El flujo constante de ataques entrantes en el puerto 22 puede ser realmente útil: si se detienen, sabrá que hay un problema con su fuente de Internet. Creo que el beneficio percibido es falso: la respuesta correcta es ajustar el sistema de detección de anomalías para filtrar los intentos fallidos de inicio de sesión de redes externas.