很不幸的是，信用卡和社会保险号码几乎可以存储在任何地方，而且通常也是这样的。当然，安全经理可以对用户进行安全意识的培训，警告不安全的存储带来的危险。他们可以在员工处理数据的时候提供安全的数据位置，甚至可以创建加密连接来前后移动数据。在很多情况下，应用都是特别创建来存储这种数据的。  

　　尽管如此，用户还是会创建写满可敏感数据的电子表格，然后存储在文件服务器上或者他们的笔记本电脑上。偶尔数据还可能存储在本地，例如在升级或者清除前在数据库备份的判定表，即使如果收到攻击，这些数据会给公司带来巨大的处罚。

　　那么应该怎么做呢？当然是去寻找这些数据。

　　有很多高端产品可以使数据处理自动化，但是它不会让你花费很多精力查找数据。结果是，要自己查找避免预算斗争，而且要节约在发现后的清除工作上的政策性投入。

　　根据用户数据存储的位置的不同，有不同的发现工具。对于Windows的系统，网络漏洞扫描器Nessus就有Windows File Contents Compliance Check插件可以被自定义用于发现特定类型的数据。Nessus还提供了常见敏感数据类型例如信用卡号码、社会保险号码和驾照号码等的预做的审计文件， 所有的这些数据都包含在大部分的泄露通知要求中。

　　提供可以访问系统文件（通常是域管理），而Nessus将识别没有通过法规检查的系统。包含数据的这些和其中的样式之一相匹配。Nessus可以配置来显示数据的位置，还可以隐藏它的发现，这样数据就不会在另一个位置暴露了。查看Windows上所有的内容需要很长时间，所以考虑网络分段搜索。

　　Nessus也不贵。一年1200美元，包括审计文件以及让Nessus成为有价值的工具的所有的漏洞评估功能。（可以获取免费版的Nessus，但是只有“ProfessionalFeed”包含敏感内容插件和可以检测敏感数据的预置审计文件。当它可能可以创建你自己的附带和SSN、信用卡等匹配的审计文件，它们不能在没有“ProfessionalFeed”的情况下工作。）

　　搜索非Windows环境——Unix、Linux和Mac OS X——要求很少的手动工作，因为Nessus File Contents Compliance Check插件只能在Windows文件系统上工作。还好，很少需要考虑这些系统。

　　Grep是可以做到这一点的很好的工具：强大的命令行工具是建立在很多操作系统内部的。每个操作系统都有不同版本的Grep，所以检查语句的兼容性。可以才从创建你想要查找的样本的文件开始：
grep -cEHilrs -f patterns /directory/to/search

　　你最好的选择是把输出的结果放入文件中，之后可以继续调查。

　　记住Grep不可能发现所有二进制文件中的数据，但是它可以搜索文本文件，并浏览MicroSoft Word等应用创建的文件。

　　最后，考虑你的数据库。随着时间的推移这些好像增加了。当应用消亡的时候或者基本用户离开公司的时候，数据会出现错位。

　　还好，这只需要很好的脚本（当然要有恰当的信任状）来发现那些类型的数据存储在你可能熟悉的数据库中。脚本可以用你喜欢的任何语言来写，只要它可以和数据库连接。他需要连接，或者table列表、抽取每个table的最前和最后几行，并写入安全的文件中。

　　下面是一个假冒代码的例子：

for each database in list_of_databases
connect to database
get list_of_tables

for each table in list_of_tables
get first five rows
get last five rows
write to output file

　　然后使用Nessus或者grep来搜索敏感数据类型的脚本输出。

　　这种方法很不全面，但是可以找到很多用户存储敏感数据的位置。还有，不要忘了记录所有过程，这样就可以用于在将来证明所需的数据搜索工具是否强大。