Informacijos saugumo atakos paviršius yra bet kuri sritis, kurioje neautentifikuotas vartotojas gali paleisti arba įvesti kodą į sistemą. Tai suskirstyta į tris sritis: tinklą, programinę įrangą ir žmogaus atakos paviršių. Nors paviršiai techniškai yra tik matas, kaip neautentifikuoti vartotojai gali pasiekti sistemą, kita ataka gali kilti iš patikimo darbuotojo. Yra būdų, kaip sumažinti ataką, pvz., sumažinti funkcijų, prie kurių vartotojai gali pridėti kodą, turėti mažiau kodo apskritai, ir išskaidyti šias funkcijas, kad jas galėtų pasiekti tik patikimi vartotojai. Atakos paviršių sumažinimas nesumažina žalos, kurią gali padaryti ataka, tik tikimybę, kad ataka įvyks.
Kai dirbate su programomis, tinklais ir svetainėmis, visada bus atakos paviršius. Kai kuriuos paviršius galima sumažinti arba pašalinti, tačiau kai kurie yra gyvybiškai svarbūs programos sėkmei. Pavyzdžiui, įvesties forma, leidžianti vartotojams rašyti pranešimus, laikoma grėsme saugumui. Tuo pačiu metu, jei yra programa ar svetainė, kuri turi rinkti informaciją iš vartotojų, o vartotojas turi įvesti informaciją rankiniu būdu, įvesties laukas yra vienintelis būdas tai padaryti.
Atakos paviršiai matuojami trimis kategorijomis. Tinklo atakų paviršiai yra tinkle ir pirmiausia atsiranda dėl atvirų prievadų ar lizdų arba dėl to, kad į tinklą įleidžiami tuneliai. Tunelius kartais sunku rasti, nes gali atrodyti, kad jie yra reguliarus tinklo srautas. Programinės įrangos atakos paviršius yra bet kokia programos sritis arba funkcija, kurią vartotojas gali naudoti, neatsižvelgdamas į padėtį ar autentifikavimą.
Žmogaus atakos paviršius skiriasi nuo kitų dviejų, nes tinklo ir programinės įrangos paviršiai yra pagrįsti neautentifikuotais vartotojais. Žmogaus paviršiuje nepatenkinti ar nesąžiningi darbuotojai vagia arba naikina duomenis. Jei darbuotojas palieka įmonę ir naujas darbuotojas turi gauti prieigą prie duomenų, tai taip pat laikoma grėsme saugumui, nes dar neaišku, kiek galima pasitikėti naujuoju darbuotoju.
Atakos paviršiaus sumažinimas skiriasi priklausomai nuo to, kokia sritis mažinama. Naudojant tinklo paviršius, visi prievadai ir lizdai turi būti uždaryti visiems vartotojams, išskyrus patikimus šaltinius. Programinės įrangos paviršiuose bendro kodo kiekis turėtų būti apribotas iki minimumo, o neautentifikuotiems vartotojams prieinamų funkcijų kiekis turėtų būti apribotas tik keliose srityse. Sumažinti žmogaus plotą gali būti sudėtinga, o tai galima padaryti efektyviai tik suteikiant naujiems darbuotojams minimalią laisvę atlikti funkcijas, kol duomenys bus jiems patikėti.