许多组织发现，漏洞管理服务外包，有助于降低员工数量，行政成本，设备和人事费用。但是，不要对外包漏洞管理能为你的组织做的事高兴的太早，要记住，你预先设定的预期有多好，在某种程度上会决定你的项目会多成功。外包方面的行家都知道，建立明确和直接的服务水平协议（SLA），并确保所有合同的“T”是交叉的，“I”是被重点提到的，这可以帮助预防出问题后的争议，比如增加混乱和责任事故。但是，可能被忽视的是谁将控制访问和共享收集到的数据。让我们来审查组织可以用以通过漏洞管理外包获得的安全信息和内部工具（比如漏洞扫描器（Nessus）和网络入侵检测系统（Snort））的管理服务提供者获得的数据的方法，来建立更完整的安全评估。

　　SEIM和合规报表

　　古老的格言“知识就是力量”应用到安全事件和信息管理（SEIM）的世界非常贴切。所有SEIM类型的解决方案都需要数据，像日志文件和系统信息。这对于具有成熟家族规则，日志聚合工具（例如：LogLogic）和COTS SEIM产品（例如：ArcSight或者eSecurity/Novell）的数据资产库也同样适用。如果没有那些数据，我们不可能对环境的当前安全状态做出评估。

　　安全事件和信息管理工具（不管是由外包方管理的，还是由终端用户公司管理的）使用大量产品和设备的日志和事件信息，这些设备包括防火墙，防病毒网关和网络入侵检测系统（IDS）。组织利用外包方漏洞数据管理的一种方式是：把漏洞评估扫描获取到的信息链接到入侵检测系统的输出。这样就提供了环境，允许组织链接特定的入侵检测系统，从而对已经入侵的攻击发起报警。

　　漏洞管理收集的数据会对组织有巨大价值，尤其是用于审计用途。许多漏洞管理工具会建立它们管理的设备和服务器清单。一些漏洞管理服务供应商会使用受管客户提供的资产数据。

　　漏洞管理工具还能捕获主机或者服务器的最新安全状态镜像。例如：主机上运行的是什么操作系统？系统上存在哪些服务？当前补丁是哪个版本？所有这些信息对安全事件信息管理（SEIM），配置报告和管理工具都有很大的用处。事实上，许多审计人员都特别希望能得到网络上当前所有设备的清单表和它们的补丁版本情况。而且安全事件信息管理会对网络中的病毒发出警报(例如，在网络的某一部分有蠕虫病毒经过时发出警报)，如果在该网络对应区域中的设备和补丁版本是已知的话，将会得到一个更好的数据集，根据该数据集可以把潜在的威胁按优先级进行区分。

　　与外包漏洞管理服务协同工作

　　要与外包漏洞管理服务协同工作，这里有一些建议：

• 让通过外包漏洞管理服务收集的数据变得透明。在全部签字之前，确认你将与之合作的外包公司在扫描你的站点期间，可以提供给你近乎实时的访问，进行数据收集。
• 要审查供应商，确认他们使用的是什么产品，信息怎样共享。可用的是CSV文件，还是XML？你的安全事件信息管理或者遵从工具可以容易地读到日志和警告信息吗？理想情况下，你可以把你的安全事件信息管理工具或者遵从工具直接与外包的漏洞管理工具相连接，以便即时共享收集到的数据。可以得出的一个结论是发包方计划怎样为过程改进处理数据收集。例如，某些任务是在一个持续的基础上完成的，它们可以在性能方面进行优化。如果维护的是错误确定的记录，基线数据可以被重新提炼，以便管理员不必一次一次地审查相同的警告。
   
• 一些漏洞管理数据收集（比如：完成补丁的时间），可以被用作关键效能指标（KPI），并随着时间的推移显示产生的改进。底线：如果外包方步允许你自己访问非常脆弱的扫描数据，那么在与他们签署协议之前要三思而后行。

　　通过外包漏洞管理工具收集到的信息，包括了关于你的设备和补丁版本当前状态的关键信息。尽管你认为你已经在内部捕获到了这部分数据，仍有另一双眼睛（或者叫审计日志）来与提供的确认检查报告作对照性审查。所以，既然你将与你的漏洞管理供应商讨论正常运行时间和覆盖范围，那么不要忘了问问他们关于访问和使用收集到的数据的能力。那是你的信息，确保你可以利用它，来完成你的网络安全评估描述。