Površina napada u informacijskoj sigurnosti je svako područje na kojem neovlašteni korisnik može pokrenuti ili unijeti kod u sustav. To je podijeljeno u tri područja: mreža, softver i površina ljudskog napada. Dok su površine tehnički samo mjera za to kako neautorizirani korisnici mogu pristupiti sustavu, drugi napad može doći od pouzdanog zaposlenika. Postoje načini za smanjenje napada, kao što je stvaranje manjeg broja funkcija kojima korisnici mogu dodati kod, općenito manje koda i dijeljenje ovih funkcija tako da im samo pouzdani korisnici mogu pristupiti. Smanjenje površina napada ne smanjuje štetu koju napad može nanijeti, već samo izglede da će se napad dogoditi.
Kada se radi o programima, mrežama i web stranicama, uvijek će postojati površina napada. Neke se površine mogu smanjiti ili eliminirati, ali neke su od vitalnog značaja za uspjeh programa. Na primjer, obrazac za unos koji korisnicima omogućuje pisanje poruka smatra se sigurnosnom prijetnjom. Istodobno, ako postoji program ili web stranica koja treba prikupljati informacije od korisnika, a korisnik ih treba ručno upisivati, polje za unos je jedini način da se to omogući.
Napadne površine mjere se u tri kategorije. Mrežne napadne površine su u mreži i prvenstveno su uzrokovane otvorenim portovima ili utičnicama, ili probijanjem tunela u mrežu. Tunele je ponekad teško pronaći, jer se može činiti da su redoviti promet na mreži. Površina softverskog napada je bilo koje područje ili funkcija u programu koju korisnik može koristiti, bez obzira na poziciju ili autentifikaciju.
Površina ljudskog napada razlikuje se od druge dvije, jer se mrežne i softverske površine temelje na neovlaštenim korisnicima. Ljudska površina uključuje nezadovoljne ili beskrupulozne zaposlenike koji kradu ili uništavaju podatke. Ako zaposlenik napusti tvrtku, a novi zaposlenik mora dobiti pristup podacima, to se također smatra sigurnosnom prijetnjom, jer još nije jasno koliko se povjerenja može povjeriti novom zaposleniku.
Smanjenje površine napada razlikuje se, ovisno o tome koje se područje smanjuje. S mrežnim površinama, svi portovi i utičnice trebaju biti zatvoreni za sve korisnike osim pouzdanih izvora. U softverskim površinama, količina ukupnog koda trebala bi biti ograničena na minimum, a količina funkcija dostupnih neautoriziranim korisnicima trebala bi biti ograničena na samo nekoliko područja. Smanjenje ljudske površine može biti teško, a to se može učiniti učinkovito samo dajući novim zaposlenicima minimalnu količinu slobode za obavljanje funkcija dok mu se podaci ne povjere.