A resposta geral de segurança é que algumas informações, por exemplo, segredo compartilhado ou outra chave, devem ser trocadas "fora da banda". Essa informação é então usada para criptografar a conexão entre os pontos finais e também para fornecer algum grau de autenticação. Se tudo passar por uma determinada conexão, nenhum ponto final poderá ter confiança em nenhum aspecto da conexão, pois um ou ambos os pontos finais podem ser falsificados por um homem no meio.
Mesmo para algumas conexões aparentemente em banda, como conexões SSL, há informações sendo trocadas fora da conexão SSL - os certificados para CAs (Autoridades de Certificação) são empacotados com o navegador quando você o instala, fora da banda do SSL eventualmente conexão entre você e seu banco (espero).
Quanto às discussões de segurança usuais, acho que a suposição implícita é oposta à descrita "uma vez que sai do seu prédio [ou segmento de rede ou máquina host], é seguro". Quando os dados estão fora do seu prédio, você não tem controle sobre eles, e os dados e a conexão são implicitamente inseguros. É por isso que você cria VPNs entre prédios - para que, se um invasor interferir na conexão, você tenha a chance de conhecê-la.
Talvez o que você tenha notado sobre as discussões de segurança de ponto final seja que um invasor tem mais facilidade em atacar um alvo específico se o invasor estiver perto de um dos pontos finais. Uma vez que uma conexão é multiplexada na rede principal da Telco, pode ser difícil distinguir uma conexão da outra. Talvez o que você tenha notado sobre as discussões de segurança de end-point é que muitas empresas fazem menos para a segurança de suas redes locais do que o ISP para proteger seu data center e, portanto, o end-point é mais fácil de atacar.
Se você realmente quiser se aprofundar na paranóia de garantir conexões de rede, dê uma olhada na Série de livros / relatórios sobre segurança do Rainbow (superada pelos Critérios Comuns para Avaliação e Validação, e Rainbow Series é um apelido mais cativante) .