Questa è una grande domanda e penso che il tuo ragionamento sia corretto: gli aggiornamenti periodici generalmente indicano che il software avrà una migliore postura di sicurezza. Il rovescio della medaglia è che il software che non ottiene aggiornamenti regolari è perfetto (non possibile) o trascurato. Più tardi è molto più probabile. Quindi il tuo istinto funziona:)
Anche la reputazione dell'azienda o del progetto open source che fornisce il software in questione è un fattore importante. Ciò è particolarmente vero se il software in questione è proprietario in quanto è necessario fidarsi del fatto che il provider sa cosa sta facendo e ha buone pratiche di sicurezza (che include la distribuzione di aggiornamenti regolari). Una rapida ricerca sul Web può aiutarti in questo modo, poiché puoi cercare le vulnerabilità note nel software che stai utilizzando.
Attenzione però: solo perché le vulnerabilità non sono pubblicamente note non significa che non ce ne siano. Questo è spesso solo una buona indicazione che il prodotto non è ampiamente utilizzato e che nessuno lo sta attaccando e pubblicando i risultati. Quello che vuoi veramente qui è una storia di vulnerabilità che vengono divulgate e il prodotto viene aggiornato in un maniero tempestivo (rapidamente).
Assicurati anche di sapere quali interfacce stai esponendo a Internet. Le scatole NAS supportano sempre le interfacce utente web come dici tu, ma hanno anche un sacco di interfacce per l'integrazione "nativa" con sistemi Windows / OSX / Linux come CFIS, NFS ecc. L'esposizione di interfacce come queste ad Internet ha implicazioni diverse ... come NFS NESSUNA autenticazione integrata!
Quindi, per rispondere direttamente alla tua domanda: ti sconsiglio vivamente di esporre l'interfaccia utente web di un dispositivo NAS domestico come quello che menzioni su Internet. Paragonerei questo ad esporre l'interfaccia di gestione su un server (come le interfacce ILO / IPMI) a Internet e la storia recente ha dimostrato che solo un po 'di poking può scoprire una tonnellata di problemi nelle implementazioni IPMI popolari: link
Come sempre dovresti bilanciare i rischi che stai assumendo in proporzione ai dati che stai proteggendo. Se non si dispone di qualcosa di sensibile su questo dispositivo e tutto viene eseguito il backup altrove, le implicazioni di un compromesso sono inferiori. Puoi semplicemente cancellarlo e ripristinarlo se necessario (ovvero se noti che è stato compromesso). D'altro canto, se metti dati sensibili su questa cosa (affari, informazioni personali identificabili, ecc.), Un compromesso sarà più dannoso per te o per la tua attività.
In questa situazione, IMHO, la "cosa giusta" da fare è impostare una buona VPN e richiedere che tutti gli accessi al NAS passino attraverso la VPN. Puoi farlo con una VPN di forza industriale o qualcosa di semplice come un tunnel SSH e un proxy. Personalmente faccio il dopo ed è sufficiente per le mie esigenze ma YMMV.
Spero che questo aiuti!