Una superficie de ataque en seguridad de la información es cualquier área donde un usuario no autenticado puede ejecutar o ingresar código en el sistema. Esto se divide en tres áreas: red, software y superficie de ataque humano. Si bien las superficies son técnicamente solo una medida de cómo los usuarios no autenticados pueden acceder al sistema, otro ataque puede provenir de un empleado de confianza. Hay formas de reducir un ataque, como hacer menos funciones a las que los usuarios pueden agregar código, tener menos código en general y dividir estas funciones para que solo los usuarios de confianza puedan acceder a ellas. Reducir las superficies de ataque no reduce el daño que puede causar un ataque, solo las probabilidades de que ocurra un ataque.

Cuando se trata de programas, redes y sitios web, siempre habrá una superficie de ataque. Algunas superficies se pueden reducir o eliminar, pero algunas son vitales para el éxito de un programa. Por ejemplo, un formulario de entrada que permite a los usuarios escribir mensajes se considera una amenaza para la seguridad. Al mismo tiempo, si hay un programa o sitio web que necesita recopilar información de los usuarios, y el usuario necesita escribir la información manualmente, un campo de entrada es la única forma de hacerlo posible.

Las superficies de ataque se miden en tres categorías. Las superficies de ataque de red están en la red y son causadas principalmente por puertos o sockets abiertos, o por tener túneles perforados en la red. Los túneles a veces son difíciles de encontrar, porque pueden parecer tráfico regular en la red. Una superficie de ataque de software es cualquier área o función en un programa que un usuario puede usar, independientemente de su posición o autenticación.

La superficie de ataque humano es diferente de las otras dos, porque las superficies de red y software se basan en usuarios no autenticados. La superficie humana implica empleados descontentos o sin escrúpulos que roban o destruyen datos. Si un empleado deja la empresa y un nuevo empleado tiene que obtener acceso a los datos, esto también se considera una amenaza para la seguridad, porque aún no está claro cuánta confianza se puede depositar en el nuevo empleado.

La reducción de una superficie de ataque difiere, dependiendo de qué área se está reduciendo. Con las superficies de red, todos los puertos y sockets deben estar cerrados para todos los usuarios que no sean fuentes confiables. En las superficies de software, la cantidad de código general debe limitarse a su mínimo, y la cantidad de funciones disponibles para usuarios no autenticados debe limitarse a unas pocas áreas. La reducción de la superficie humana puede ser difícil, y esto solo se puede hacer de manera efectiva al dar a los nuevos empleados la mínima libertad para realizar funciones hasta que se les confíe los datos.