Powierzchnią ataku w bezpieczeństwie informacji jest każdy obszar, w którym nieuwierzytelniony użytkownik może uruchomić lub wprowadzić kod do systemu. Dzieli się to na trzy obszary: sieć, oprogramowanie i powierzchnię ataku ludzkiego. Chociaż powierzchnie są technicznie tylko miarą tego, jak nieuwierzytelnieni użytkownicy mogą uzyskać dostęp do systemu, kolejny atak może pochodzić od zaufanego pracownika. Istnieją sposoby ograniczenia ataku, takie jak tworzenie mniejszej liczby funkcji, do których użytkownicy mogą dodawać kod, ogólnie mniej kodu oraz dzielenie tych funkcji, aby dostęp do nich mieli tylko zaufani użytkownicy. Zmniejszenie powierzchni ataku nie zmniejsza obrażeń, jakie atak może zadać, a jedynie szanse, że atak nastąpi.
Kiedy mamy do czynienia z programami, sieciami i stronami internetowymi, zawsze pojawi się powierzchnia ataku. Niektóre powierzchnie można zmniejszyć lub wyeliminować, ale niektóre mają kluczowe znaczenie dla powodzenia programu. Na przykład formularz wejściowy, który umożliwia użytkownikom pisanie wiadomości, jest uważany za zagrożenie bezpieczeństwa. Jednocześnie, jeśli istnieje program lub strona internetowa, która musi zbierać informacje od użytkowników, a użytkownik musi wpisać informacje ręcznie, pole wejściowe jest jedynym sposobem, aby to umożliwić.
Powierzchnie ataku są mierzone w trzech kategoriach. Powierzchnie ataków sieciowych znajdują się w sieci i są powodowane głównie przez otwarte porty lub gniazda albo przez tunele wwiercające się w sieć. Tunele są czasami trudne do znalezienia, ponieważ mogą sprawiać wrażenie regularnego ruchu w sieci. Powierzchnia ataku oprogramowania to dowolny obszar lub funkcja w programie, z której może korzystać użytkownik, niezależnie od pozycji lub uwierzytelnienia.
Powierzchnia ludzkiego ataku różni się od pozostałych dwóch, ponieważ powierzchnie sieci i oprogramowania są oparte na nieuwierzytelnionych użytkownikach. Na powierzchni ludzkiej niezadowoleni lub pozbawieni skrupułów pracownicy kradną lub niszczą dane. Jeśli pracownik odchodzi z firmy, a nowy pracownik musi uzyskać dostęp do danych, jest to również uważane za zagrożenie bezpieczeństwa, ponieważ nie jest jeszcze jasne, na ile można zaufać nowemu pracownikowi.
Zmniejszanie powierzchni ataku różni się w zależności od tego, jaki obszar jest redukowany. W przypadku powierzchni sieciowych wszystkie porty i gniazda powinny być zamknięte dla wszystkich użytkowników innych niż zaufane źródła. Na powierzchniach oprogramowania ilość całego kodu powinna być ograniczona do minimum, a ilość funkcji dostępnych dla nieuwierzytelnionych użytkowników powinna być ograniczona do zaledwie kilku obszarów. Zmniejszenie powierzchni ludzkiej może być trudne, a można to zrobić skutecznie tylko poprzez zapewnienie nowym pracownikom minimalnej swobody wykonywania funkcji, dopóki nie zaufa się im w zakresie danych.