大多数安全团队都清楚其环境中什么是关键的，但更难确定的是什么是业务关键的。这些是支持业务无法缺少流程的资产，它们不总是最显眼或最暴露的，它们与收入、运营和交付相关。如果其中一个出现故障，那不仅仅是安全问题——那是个业务问题。

在过去一年中，自从我们发布了一套用于映射和保障业务关键资产的四步方法后，我和我的团队有机会与来自金融、制造业、能源等多个行业的数十家客户进行深入的交流。这些会议揭示了组织在调整其安全态势方面的宝贵见解。

本文对这种方法进行了更新，融入了我们在此过程中学到的经验，帮助组织将风险暴露管理策略与业务优先级相一致。最初作为一个理论上的四步方法，现已成熟为一种经过验证的方法论，并取得了可衡量的成果。实施这一框架的组织报告了显著的效率提升——一些组织将修复工作减少高达96%，同时同时加强了其最关键领域的安全态势。

我们与首席信息安全官（CISO）、安全总监，以及越来越多首席财务官（CFO）和商业高管的合作，揭示了跨行业的一种模式。安全团队面临的挑战并非在于识别漏洞，而在于确定哪些漏洞构成真正的商业风险。与此同时，商业领导者希望确保安全投资保护最关键的事物，但往往缺乏有效向技术团队传达这些优先级的框架。

我们完善的方法论弥补了这一差距，在安全从业者与商业利益相关者之间建立了共同语言。接下来的经验教训浓缩了我们通过在不同组织环境中实施这一方法所学到的东西。它们不仅代表理论最佳实践，更是通过成功现实应用获得的实用见解。

我们的发现：大多数安全团队能够识别技术上的关键要素，但难以确定商业上的关键要素。差异是显著的——商业关键资产直接支持收入增长、运营和服务交付。

关键要点：将安全资源集中在那些如果被攻破会实际造成业务中断而非仅是技术问题的系统上。采用这种针对性方法的组织将补救工作减少了高达96%。

我们的发现：安全团队被各种信号淹没——漏洞扫描、CVSS 评分以及来自整个技术栈的警报。没有业务背景，这些信号就缺乏意义。一个闲置系统上的"严

重"漏洞，不如一个产生收入的平台上的"中等"漏洞重要。

关键要点：将业务背景整合到你的安全优先级排序中。当你知道哪些系统支持核心业务功能时，你就可以根据实际影响而非仅凭技术严重性来做决策。

我们发现的： 组织需要一个结构化的方法来将安全工作与业务优先级相结合。我们的四步方法论在各个不同行业已被证明是有效的：

• 识别关键业务流程

  要点：从公司如何赚钱和花钱开始。你不需要绘制所有内容——只需绘制那些如果中断会造成重大干扰的流程。

• 将流程映射到技术

  要点：确定哪些系统、数据库、凭证和基础设施支持这些关键流程。无需完美映射——目标是“足够好”以指导决策。

• 根据业务风险进行优先级排序

  要点：关注瓶颈——攻击者可能通过的系统，以到达业务关键资产。这些不一定是最严重的漏洞，但修复它们能带来最高的努力回报。

• 在关键处行动

  要点：优先修复那些可能威胁到关键业务系统的漏洞。这种针对性方法使安全工作更高效，也更容易向领导层解释。

我们的发现：财务领导者越来越多地参与网络安全决策。正如一位网络安全总监告诉我们的那样："我们的首席财务官想知道我们从商业角度如何看待网络安全风险。" 

关键要点：将安全工作以商业风险管理框架呈现，以获得财务领导的支持。这种方法已被证明对于推动倡议和确保必要预算至关重要。

我们的发现：安全团队不需要更多信息——他们需要更好的背景信息来理解他们已有的内容。

关键要点：当你能够将安全工作与商业成果联系起来时，与领导的对话将发生根本性变化。这不再关于技术指标，而是关于商业保护和连续性。

我们的发现：采用我们业务导向方法的组织报告了显著的效率提升，其中一些组织将修复工作减少高达 96%。

有效安全之旅并非在于保护所有事物，而在于保护真正推动业务发展的核心。通过将安全工作与业务优先级相结合，组织能够实现更强的保护力和更高效的运营——将安全从技术职能转变为战略业务推动者。