O suprafață de atac în securitatea informațiilor este orice zonă în care un utilizator neautentificat poate rula sau introduce cod în sistem. Acesta este împărțit în trei zone: rețea, software și suprafață de atac uman. În timp ce suprafețele sunt din punct de vedere tehnic doar o măsură a modului în care utilizatorii neautentificați pot accesa sistemul, un alt atac poate veni de la un angajat de încredere. Există modalități de a reduce un atac, cum ar fi crearea de mai puține funcții la care utilizatorii pot adăuga cod, având mai puțin cod în general și împărțirea acestor funcții, astfel încât numai utilizatorii de încredere să le poată accesa. Reducerea suprafețelor de atac nu reduce daunele pe care un atac le poate provoca, ci doar șansele ca un atac să se producă.
Când aveți de-a face cu programe, rețele și site-uri web, va exista întotdeauna o suprafață de atac. Unele suprafețe pot fi reduse sau eliminate, dar unele sunt vitale pentru succesul unui program. De exemplu, un formular de intrare care permite utilizatorilor să scrie mesaje este considerat o amenințare de securitate. În același timp, dacă există un program sau un site web care trebuie să adune informații de la utilizatori, iar utilizatorul trebuie să introducă informațiile manual, un câmp de introducere este singura modalitate de a face acest lucru posibil.
Suprafețele de atac sunt măsurate în trei categorii. Suprafețele de atac ale rețelei se află în rețea și sunt cauzate în primul rând de porturi sau prize deschise sau de tuneluri care pătrund în rețea. Tunelurile sunt uneori greu de găsit, deoarece pot părea a fi trafic regulat în rețea. O suprafață de atac software este orice zonă sau funcție dintr-un program pe care un utilizator o poate folosi, indiferent de poziție sau autentificare.
Suprafața de atac uman este diferită de celelalte două, deoarece suprafețele de rețea și software se bazează pe utilizatori neautentificați. Suprafața umană implică angajați nemulțumiți sau fără scrupule care fură sau distrug date. Dacă un angajat părăsește compania și un nou angajat trebuie să obțină acces la date, acest lucru este considerat și o amenințare de securitate, deoarece nu este încă clar cât de multă încredere poate fi acordată noului angajat.
Reducerea unei suprafețe de atac diferă, în funcție de ce zonă este redusă. Cu suprafețele de rețea, toate porturile și prizele ar trebui să fie închise pentru toți utilizatorii, alții decât sursele de încredere. Pe suprafețele software, cantitatea totală de cod ar trebui să fie limitată la minimum, iar cantitatea de funcții disponibile pentru utilizatorii neautentificați ar trebui limitată la doar câteva zone. Reducerea suprafeței umane poate fi dificilă, iar acest lucru poate fi realizat în mod eficient doar oferindu-le noilor angajați libertatea minimă de a îndeplini funcții până când li se acordă încredere în date.