Bilgi güvenliğindeki bir saldırı yüzeyi, kimliği doğrulanmamış bir kullanıcının sisteme kod girebileceği veya kod girebileceği herhangi bir alandır. Bu üç alana ayrılmıştır: ağ, yazılım ve insan saldırı yüzeyi. Yüzeyler teknik olarak sadece kimliği doğrulanmayan kullanıcıların sisteme nasıl erişebileceğinin bir ölçüsü olsa da, başka bir saldırı güvenilir bir çalışandan gelebilir. Kullanıcıların kod ekleyebileceği daha az işlev yapmak, genel olarak daha az koda sahip olmak ve bu işlevleri bölmek, yalnızca güvenilir kullanıcıların bunlara erişebilmesi gibi bir saldırıyı azaltmanın yolları vardır. Saldırı yüzeylerini azaltmak, bir saldırının verebileceği hasarı azaltmaz, yalnızca bir saldırı oluşma ihtimalini azaltır.
Programlar, ağlar ve web siteleriyle uğraşırken, her zaman bir saldırı yüzeyi olacaktır. Bazı yüzeyler azaltılabilir veya ortadan kaldırılabilir, ancak bazıları bir programın başarısı için hayati öneme sahiptir. Örneğin, kullanıcıların mesaj yazmasına izin veren bir giriş formu güvenlik tehdidi olarak kabul edilir. Aynı zamanda, kullanıcılardan bilgi toplaması gereken bir program veya web sitesi varsa ve kullanıcının bilgileri manuel olarak yazması gerekiyorsa, bunu mümkün kılmanın tek yolu giriş alanıdır.
Atak yüzeyleri üç kategoride ölçülür. Ağ saldırı yüzeyleri ağdadır ve temel olarak açık bağlantı noktalarından veya soketlerden veya ağa giren tünellerden kaynaklanır. Tünelleri bazen bulmak zor, çünkü ağda düzenli trafik gibi görünebilirler. Yazılım saldırı yüzeyi, bir kullanıcının konum veya kimlik doğrulamasından bağımsız olarak kullanabileceği herhangi bir alan veya fonksiyondur.
İnsan saldırı yüzeyi diğer ikisinden farklıdır, çünkü ağ ve yazılım yüzeyleri kimliği doğrulanmamış kullanıcılara dayanmaktadır. İnsan yüzeyi verileri çalmak veya tahrip etmek için hoşnutsuz veya kaba olmayan çalışanlar içerir. Eğer bir çalışan şirketten ayrılırsa ve yeni bir çalışan verilere erişmek zorundaysa, bu aynı zamanda bir güvenlik tehdidi olarak da kabul edilir, çünkü yeni çalışana ne kadar güven verilebileceği henüz net değildir.
Saldırı yüzeyini azaltmak, hangi alanın azaldığına bağlı olarak değişir. Ağ yüzeylerinde, tüm bağlantı noktaları ve soketler güvenilir kaynaklar dışındaki tüm kullanıcılara kapatılmalıdır. Yazılım yüzeylerinde, genel kodun miktarı minimumla sınırlandırılmalı ve doğrulanmayan kullanıcılar için kullanılabilen işlevlerin miktarı yalnızca birkaç alana sınırlandırılmalıdır. İnsan yüzeyini küçültmek zor olabilir ve bu ancak yeni çalışanlara verilere güvenilene kadar işlevleri yerine getirme asgari serbestliğini vererek etkili bir şekilde yapılabilir.
