Fammi prendere una pugnalata nel rispondere all'intenzione della tua domanda. Se l'intenzione della tua domanda è:
If I discover open ports with an external scan, assuming it has the typical associated service with it, what should be my highest priority to investigate and/or address?
Iniziamo con dati reali, dal vivo. Ecco un link al centro tempesta SANS link
Uno di questi è il traffico di attacco per porta. Quindi questa è la conferma in tempo reale degli hacker che stanno inseguendo quei porti / servizi in questo momento. Direi che dovrebbe essere preso molto sul serio. Noterai 21/22/23 in cima alla lista.
Anche quando si enumera una scansione NMAP è bene guardare anche a cosa è l'host. Assicurati di controllare il "miglior ospite del sistema operativo". Se è chiaramente una webcam, direi che è molto più rischioso di una macchina Windows 10. Potrebbe non esserlo, ma "in the wild" le Web Camera esposte a internet sono famose per essere "possedute". Anche i dispositivi multifunzione (come una stampante per computer) sono famosi per questo.
link
Inoltre, cosa c'è su questa rete? Ciò influenzerà anche questa risposta. È una rete domestica? Se è così, probabilmente non dovrebbe esserci nulla di esposto. In genere i dispositivi domestici fungono da client e non richiedono alcuna richiesta di connessioni in entrata. Quindi in tal caso vedere qualsiasi porta aperta è preoccupante.
Anche una porta molto alta può essere preoccupante in quanto potrebbe essere una backdoor. Gli hacker cercheranno di nasconderli rendendoli qualcosa come la porta 50505, che verrebbe catturata con una scansione nmap completa, che per lo più non viene eseguita a causa del tempo necessario. Queste porte sono chiamate porte "effimere" e possono essere utilizzate da molti servizi che richiedono più di una porta, ad esempio un servizio di bilanciamento del carico.