Napadna površina v informacijski varnosti je vsako področje, kjer lahko nepooblaščen uporabnik zažene ali vnese kodo v sistem. To je razdeljeno na tri področja: omrežje, programska oprema in površina človeških napadov. Medtem ko so površine tehnično le merilo, kako lahko nepooblaščeni uporabniki dostopajo do sistema, lahko nov napad pride od zaupanja vrednega zaposlenega. Obstajajo načini za zmanjšanje napada, kot je zmanjšanje števila funkcij, ki jim lahko uporabniki dodajo kodo, manj kode na splošno in razdelitev teh funkcij, tako da lahko do njih dostopajo samo zaupanja vredni uporabniki. Zmanjšanje napadalnih površin ne zmanjša škode, ki jo lahko povzroči napad, ampak le verjetnost, da se bo napad zgodil.
Ko se ukvarjate s programi, omrežji in spletnimi mesti, bo vedno obstajala površina napada. Nekatere površine je mogoče zmanjšati ali odstraniti, nekatere pa so ključnega pomena za uspeh programa. Na primer, vnosni obrazec, ki uporabnikom omogoča pisanje sporočil, velja za varnostno grožnjo. Hkrati, če obstaja program ali spletno mesto, ki mora zbirati informacije od uporabnikov, in mora uporabnik podatke vnesti ročno, je vnosno polje edini način, da to omogoči.
Napadne površine se merijo v treh kategorijah. Površine omrežnih napadov so v omrežju in so predvsem posledica odprtih vrat ali vtičnic ali zaradi vrtanja tunelov v omrežje. Predore je včasih težko najti, ker se morda zdi, da so redni promet v omrežju. Površina za napad na programsko opremo je katero koli področje ali funkcija v programu, ki jo lahko uporablja uporabnik, ne glede na položaj ali preverjanje pristnosti.
Površina človeških napadov se razlikuje od drugih dveh, ker omrežne površine in površine programske opreme temeljijo na nepooblaščenih uporabnikih. Človeška površina vključuje nezadovoljne ali brezvestne zaposlene, ki kradejo ali uničujejo podatke. Če zaposleni zapusti podjetje in mora nov zaposleni pridobiti dostop do podatkov, se to tudi šteje za varnostno grožnjo, saj še ni jasno, koliko zaupanja lahko zaupamo novemu zaposlenemu.
Zmanjšanje površine napada se razlikuje glede na to, katero območje se zmanjša. Pri omrežnih površinah morajo biti vsa vrata in vtičnice zaprta za vse uporabnike, razen za zaupanja vredne vire. Pri programskih površinah bi morala biti količina celotne kode omejena na minimum, količina funkcij, ki so na voljo nepooblaščenim uporabnikom, pa bi morala biti omejena na le nekaj področij. Zmanjševanje človeške površine je lahko težavno, to pa je mogoče učinkovito narediti le tako, da novim zaposlenim omogočimo minimalno svobodo pri opravljanju funkcij, dokler jim ne zaupajo podatkov.