Eu automatizei a verificação antes, mas não usei um serviço de verificação terceirizado. No tópico de serviços de segurança terceirizados para verificação, muitas pessoas que eu conheço juram Rapid7 . Eles também têm HD Moore na equipe, então eles certamente conhecem testes de penetração e Metasploit.
É trivial usar scripts Nmap ou Nessus, criptografar a saída e enviá-la para você mesmo por email.
Você também pode avaliar regularmente a conformidade com uma linha de base reforçada para garantir que eles não estejam se desviando dela ao longo do tempo ou introduzindo novos riscos.
Se você é um guru de segurança, eu o manteria em casa, mas por outro lado, eu o terceirizaria.
Tenha em mente que para obter resultados precisos da verificação de vulnerabilidades & análise de conformidade, você precisará executar varreduras autenticadas dentro do (s) firewall (s).