Uma superfície de ataque na segurança da informação é qualquer área em que um usuário não autenticado possa executar ou inserir código no sistema. Isso é dividido em três áreas: rede, software e superfície de ataque humano. Enquanto as superfícies são tecnicamente apenas uma medida de como usuários não autenticados podem acessar o sistema, outro ataque pode vir de um funcionário confiável. Existem maneiras de reduzir um ataque, como fazer menos funções às quais os usuários podem adicionar código, ter menos código em geral e dividir essas funções para que somente usuários confiáveis ​​possam acessá-las. Reduzir as superfícies de ataque não reduz o dano que um ataque pode causar, apenas as chances de que um ataque ocorra.

Ao lidar com programas, redes e sites, sempre haverá uma superfície de ataque. Algumas superfícies podem ser reduzidas ou eliminadas, mas outras são vitais para o sucesso de um programa. Por exemplo, um formulário de entrada que permite aos usuários escrever mensagens é considerado uma ameaça à segurança. Ao mesmo tempo, se houver um programa ou site que precise coletar informações dos usuários e o usuário precisar digitar as informações manualmente, um campo de entrada é a única maneira de tornar isso possível.

As superfícies de ataque são medidas em três categorias. As superfícies de ataque à rede estão na rede e são causadas principalmente por portas ou soquetes abertos ou por túneis perfurados na rede. Às vezes, é difícil encontrar túneis, pois podem parecer tráfego regular na rede. Uma superfície de ataque de software é qualquer área ou função em um programa que um usuário possa usar, independentemente da posição ou autenticação.

A superfície de ataque humano é diferente das outras duas, porque as superfícies de rede e software são baseadas em usuários não autenticados. A superfície humana envolve funcionários descontentes ou inescrupulosos roubando ou destruindo dados. Se um funcionário sai da empresa e um novo funcionário precisa obter acesso aos dados, isso também é considerado uma ameaça à segurança, porque ainda não está claro quanta confiança pode ser depositada no novo funcionário.

A redução da superfície de ataque difere, dependendo da área que está sendo reduzida. Com superfícies de rede, todas as portas e soquetes devem ser fechados para todos os usuários que não sejam fontes confiáveis. Nas superfícies de software, a quantidade de código geral deve ser limitada ao mínimo e a quantidade de funções disponíveis para usuários não autenticados deve ser limitada a apenas algumas áreas. A redução da superfície humana pode ser difícil, e isso só pode ser feito com eficácia, dando aos novos funcionários a quantidade mínima de liberdade para executar funções até que ele ou ela seja confiável com os dados.