Questa è una domanda filosofica: "il controllo X è utile?" E come ha sottolineato la migliore risposta, dovresti considerare anche "quali sono i costi (supporto clienti, esenzioni di documenti, supporto di sistema, supporto per il monitoraggio e costi di gestione, costi di licenza, ecc.) Di controllo X?"
Qualsiasi cosa è utile in determinati contesti. È una buona idea chiedersi in che contesto ci si trova. A volte il contesto è di conformità - si sta implementando il controllo X per soddisfare un particolare requisito. "Devo spostare la mia porta ssh perché i criteri di sistema vietano gli ascoltatori sulla porta 22." Quindi esegui l'operazione, archivia un'eccezione o lavora per modificare la politica. [Questo sarebbe, imho, una politica poco prudente.]
Qui, il contesto è probabilmente "Sono un ragazzo a caso, con un host su una rete incontrollata, e non voglio perdere il controllo della mia scatola." Gli attacchi hanno sempre una fase investigativa - se l'indagine è "invia un SYN sulla porta 22 e vedi chi risponde", allora stai proteggendo contro quel vettore specifico di minacce. (Se l'indagine è "esegui uno sweep della porta, raccogli i banner e vedi se qualcosa di interessante appare", allora il tuo controllo non ha alcun effetto.) Ma ora hai fatto un sacco di lavoro per te stesso - se stai usando uno strumento per collegarsi al server, è necessario capire come lavorare su quella porta non standard e con alcuni strumenti che potrebbero non essere nemmeno possibili. Tutto considerato, e in questo contesto, non consiglierei di cambiare le porte.
Un vantaggio notato era la riduzione degli eventi di registro associati ai falsi positivi. In realtà trovo che sia negativo! Il flusso costante di attacchi in ingresso sulla porta 22 può effettivamente essere utile: se si fermano, sai che c'è un problema con il tuo feed Internet. Penso che il beneficio percepito sia falso - la risposta giusta è sintonizzare il sistema di rilevamento delle anomalie per filtrare i tentativi di accesso non riusciti da reti esterne.