Une surface d'attaque dans la sécurité de l'information est n'importe quel domaine où un utilisateur non authentifié peut exécuter ou saisir du code dans le système.Ceci est divisé en trois domaines: réseau, logiciel et surface d'attaque humaine.Bien que les surfaces ne soient techniquement qu'une mesure de la façon dont les utilisateurs non authentifiés peuvent accéder au système, une autre attaque peut provenir d'un employé de confiance.Il existe des moyens de réduire une attaque, comme faire moins de fonctions auxquelles les utilisateurs peuvent ajouter du code, avoir moins de code en général et diviser ces fonctions afin que seuls les utilisateurs de confiance puissent y accéder.La réduction des surfaces d'attaque ne réduit pas les dégâts qu'une attaque peut infliger, seules les chances qu'une attaque se produise.

Lorsque vous traitez avec des programmes, des réseaux et des sites Web, il y aura toujours une surface d'attaque.Certaines surfaces peuvent être réduites ou éliminées, mais certaines sont vitales pour le succès d'un programme.Par exemple, un formulaire d'entrée qui permet aux utilisateurs d'écrire des messages est considéré comme une menace de sécurité.Dans le même temps, s'il existe un programme ou un site Web qui doit recueillir des informations auprès des utilisateurs et que l'utilisateur doit taper les informations manuellement, un champ de saisie est le seul moyen de rendre cela possible.

Les surfaces d'attaque sont mesurées en troiscatégories.Les surfaces d'attaque du réseau sont dans le réseau et sont principalement causées par des ports ou des prises ouverts, ou par des tunnels ennuyeux dans le réseau.Les tunnels sont parfois difficiles à trouver, car ils peuvent sembler être un trafic régulier sur le réseau.Une surface d'attaque logicielle est n'importe quelle zone ou fonction dans un programme qu'un utilisateur peut utiliser, quelle que soit la position ou l'authentification.

La surface d'attaque humaine est différente des deux autres, car les surfaces du réseau et des logiciels sont basées sur des utilisateurs non authentifiés.La surface humaine implique des employés mécontents ou sans scrupules qui volent ou détruisent des données.Si un employé quitte l'entreprise et qu'un nouvel employé doit accéder aux données, cela est également considéré comme une menace pour la sécurité, car il n'est pas encore clair combien de confiance peut être placée dans le nouvel employé.

La réduction d'une surface d'attaque diffère, selonsur quelle zone est réduite.Avec les surfaces du réseau, tous les ports et prises doivent être fermés à tous les utilisateurs autres que les sources de confiance.Dans les surfaces logicielles, la quantité de code global doit être limitée à son minimum et la quantité de fonctions disponibles pour les utilisateurs non authentifiés doit être confiné dans quelques domaines.La réduction de la surface humaine peut être difficile, et cela ne peut être fait efficacement qu'en donnant aux nouveaux employés la quantité minimale de liberté pour remplir des fonctions jusqu'à ce qu'il soit fidèle aux données.