En attackyta inom informationssäkerhet är alla områden där en obehaglig användare kan köra eller mata in koden i systemet.Detta delas upp i tre områden: nätverk, mjukvara och mänsklig attackyta.Medan ytor är tekniskt bara ett mått på hur obehagliga användare kan komma åt systemet, kan en annan attack komma från en pålitlig anställd.Det finns sätt att minska en attack, till exempel att göra färre funktioner som användare kan lägga till kod, ha mindre kod i allmänhet och dela upp dessa funktioner så att bara betrodda användare kan komma åt dem.Att minska attackytorna minskar inte den skada som en attack kan orsaka, bara oddsen för att en attack kommer att inträffa.

När man hanterar program, nätverk och webbplatser kommer det alltid att bli en attackyta.Vissa ytor kan reduceras eller elimineras, men andra är avgörande för framgången för ett program.Till exempel betraktas en inmatningsformulär som låter användare skriva meddelanden som ett säkerhetshot.Samtidigt, om det finns ett program eller en webbplats som måste samla in information från användare, och användaren måste skriva informationen manuellt, är ett inmatningsfält det enda sättet att möjliggöra detta.

attackytor mäts i trekategorier.Nätverksattackytor finns i nätverket och orsakas främst av öppna portar eller uttag, eller av att tunnlar tråkiga i nätverket.Tunnlar är ibland svåra att hitta, eftersom de kan tyckas vara regelbunden trafik i nätverket.En mjukvarusattack är vilket som helst område eller funktion i ett program som en användare kan använda, oavsett position eller autentisering.

Den mänskliga attackytan skiljer sig från de andra två, eftersom nätverks- och mjukvaruytor är baserade på obehagliga användare.Den mänskliga ytan involverar missnöjda eller skrupelfria anställda som stjäl eller förstör data.Om en anställd lämnar företaget och en ny anställd måste få tillgång till data, betraktas detta också som ett säkerhetshot, eftersom det ännu inte är klart hur mycket förtroende som kan placeras i den nya anställden.

Att minska en attackyta skiljer sig, beroende påpå vilket område som reduceras.Med nätverksytor bör alla portar och uttag stängas för alla andra användare än pålitliga källor.I mjukvaruytor bör mängden övergripande kod begränsas till dess minimum och mängden funktioner som är tillgängliga för obehagliga användare bör begränsas till bara några få områden.Mänsklig ytreducering kan vara svårt, och detta kan bara göras effektivt genom att ge nya anställda minsta mängden frihet att utföra funktioner tills han eller hon litar på uppgifterna.