所有數據庫安全戰略的最重要的步驟之一，同時也是最有可能被人遺忘的步驟之一，就是：列出企業管理的數據庫。只有企業知道它有多少個數據庫，哪個數據庫包含敏感信息，企業才有可能基于風險來對這些數據庫進行優先排序，并部署適當的控制。然而，在數據庫發現方面，很多公司仍然處于“混沌”之中。

Imperva公司高級產品經理Anu Yamunan表示：“很多公司都難以定位以及準確地知道其數據庫上的所有數據。”Vigilant公司高級經理Paul Borchardt也贊同這個說法，他看到很多公司無法維護整個企業的數據庫或應用程序庫存清單。他表示，“你聽起來非常簡單且具有邏輯性，但準確的資產清單通常是不存在的，如果存在的話，也是由不同資產管理者(例如數據庫管理員和開發人員)分散管理的，無法找出包含你的客戶的PII信息的數據庫，這將會讓你難以面對監管機構和法院的審查。”

這里的部分問題在于規模。很多企業在其IT基礎設施內運行數百個數據庫，有些數據庫比其他數據庫更加明顯一些。根據最新的IOUG企業數據安全調查，38%的企業運行著超過100個數據庫，而18%運行超過1000個數據庫。再加上數據庫和應用程序的動態本質，我們就能夠明白，為什么看似如此簡單的任務仍然在IT的必做工作清單中。

MENTIS Software 市場營銷和產品戰略副總裁Kevin O'Malley 表示：“數據庫的主要問題是復雜性，不斷的變化使企業幾乎不可能通過手動程序來追蹤。”

此外，其他業務和技術趨勢也加劇了發現和追蹤數據庫的難度。Yamunan表示，“虛擬化就是其中之一，例如，管理員可以輕松地創建一個數據庫的新的虛擬鏡像，這個虛擬鏡像現在包含一個‘虛擬’數據庫，不受IT安全控制。”

同樣地，備份數據存儲到云中也給發現和保護數據庫帶來了潛在的問題。快照功能不僅創建了難以追蹤的數據庫副本，而且它們通常不具備加密功能。例如，亞馬遜AWS具有關系數據庫服務(RDS)，而沒有加密數據庫快照功能。

Laconic Security公司聯合創始人Fred Thiele表示，“此外，亞馬遜還有冗余故障轉移選項，如果主數據庫出現故障，還可以保持最新的備份，同樣，如果你數據庫中有未加密的數據，未加密的數據會以純文本格式被復制到亞馬遜的另一個地方。”

不管怎樣，企業應該想辦法來自動掃描基礎設施，以發現和追蹤數據庫及其包含的信息。O'Malley建立每月或者至少每個季度進行一次完全掃描，來確保企業能夠找出敏感數據。定期這樣做很重要，因為數據庫的內容可能會隨著時間的推移而變化，看似無用的數據可能會變成敏感數據。

“在定期掃描的基礎上，企業還應該檢查和修復基礎設施漏洞和錯誤配置，并持續監控哪些人可以訪問敏感數據，”Yamunan認為這會讓企業更容易找出存在漏洞的敏感數據庫。這樣做基本上能夠為不同數據的不同數據集來建立風險評分。例如，沒有及時修復漏洞的數據庫，而又包含信用卡信息，同時又能夠被外部用戶和應用訪問，這種數據庫就是高風險數據庫。