很多机构都发现将自己的漏洞管理(VM)服务外包给别的公司有助于减少员工数量、日常开支、设备费和人事费用。但是在考虑外包漏洞管理服务能带来的诸多益处之前，机构应该谨记，期望值设定的高低在一定程度上决定了这个项目能否成功。外包公司清楚地知道，设定清晰直接的服务等级协议，完成合同上所有的指标可以避免项目开始后发现不清楚的地方，如升级导致的混乱问题和责任事故。然而最有可能被忽略的是，谁将控制数据访问和数据分享的途径。怎样才能把漏洞管理服务外包公司获取到的信息和服务供应商利用漏洞扫瞄器(如Nessus)和网络入侵检测系统(如Snort)收集到的信息结合起来，建立更全面的安全评估?我们一起看看下面的方法。

　　安全信息和事件管理以及规则遵从报表

　　“知识就是力量”就是安全信息和事件管理(SIEM)以及规则遵从报表行业的真实写照。所有的安全信息和事件管理解决方案都需要大量的数据，如日志文件和系统信息等等。对数据资源库、日志集中工具(如Loglogic)和COTS SIEM产品(如ArcSight、eSecurity/Novell)也是如此。没有这些数据就不可能对系统的安全现状进行评估。

　　无论安全信息和事件管理工具的使用者是外包公司还是终端客户，他们都需要从防火墙、防毒网关和网络入侵检测系统(IDS)等产品中获取日志信息和事件信息。机构使用外包公司的漏洞管理数据的一种方法是，将漏洞评估获取的数据和从IDS获取的数据结合起来。这不仅为机构提供了数据，而且允许机构将特定的IDS警报与成功的攻击链接在一起。

　　获取的漏洞管理数据对机构来说有着重大的价值，特别是在审计的时候。很多VM工具都会建立它们管理的服务器和设备的数据清单。相应地，一些VM服务供应商也会使用客户提供的数据。漏洞管理工具也会实时捕捉主机或服务器的安全状况。举个例子，主机使用的是什么操作系统?系统目前运行了哪些服务?现有的补丁是什么水平?所有的这些信息都对SIEM、配置报告以及管理工具起到至关重要的作用。实际上，很多审计员都会特别要求拟出一份关于设备网络状况和补丁情况的数据清单。当发生蠕虫病毒通过网络站点进行传播这类安全威胁时，在设备的网络状况和补丁状况都在掌握之中的情况下，一个具有报警功能的SIEM能够更好地利用已有数据应对潜在的危险。