Una superficie di attacco nella sicurezza delle informazioni è qualsiasi area in cui un utente non autenticato può eseguire o inserire codice nel sistema. Questo è suddiviso in tre aree: rete, software e superficie di attacco umano. Mentre le superfici sono tecnicamente solo una misura di come gli utenti non autenticati possono accedere al sistema, un altro attacco può provenire da un dipendente fidato. Ci sono modi per ridurre un attacco, come creare meno funzioni a cui gli utenti possono aggiungere codice, avere meno codice in generale e suddividere queste funzioni in modo che solo gli utenti fidati possano accedervi. Ridurre le superfici di attacco non riduce il danno che un attacco può infliggere, ma solo le probabilità che si verifichi un attacco.
Quando si tratta di programmi, reti e siti Web, ci sarà sempre una superficie di attacco. Alcune superfici possono essere ridotte o eliminate, ma altre sono vitali per il successo di un programma. Ad esempio, un modulo di input che consente agli utenti di scrivere messaggi è considerato una minaccia alla sicurezza. Allo stesso tempo, se c’è un programma o un sito Web che ha bisogno di raccogliere informazioni dagli utenti e l’utente deve digitare le informazioni manualmente, un campo di input è l’unico modo per renderlo possibile.
Le superfici di attacco sono misurate in tre categorie. Le superfici di attacco della rete si trovano nella rete e sono principalmente causate da porte o socket aperti o dalla presenza di tunnel che perforano la rete. I tunnel a volte sono difficili da trovare, perché possono sembrare traffico regolare sulla rete. Una superficie di attacco software è qualsiasi area o funzione in un programma che un utente può utilizzare, indipendentemente dalla posizione o dall’autenticazione.
La superficie di attacco umana è diversa dalle altre due, perché le superfici di rete e software si basano su utenti non autenticati. La superficie umana coinvolge dipendenti scontenti o senza scrupoli che rubano o distruggono dati. Se un dipendente lascia l’azienda e un nuovo dipendente deve accedere ai dati, anche questa è considerata una minaccia alla sicurezza, perché non è ancora chiaro quanta fiducia possa essere riposta nel nuovo dipendente.
La riduzione di una superficie di attacco varia a seconda dell’area che viene ridotta. Con le superfici di rete, tutte le porte e i socket devono essere chiusi a tutti gli utenti diversi dalle fonti attendibili. Nelle superfici software, la quantità di codice complessivo dovrebbe essere limitata al minimo e la quantità di funzioni disponibili per gli utenti non autenticati dovrebbe essere limitata a poche aree. La riduzione della superficie umana può essere difficile e questo può essere fatto in modo efficace solo dando ai nuovi dipendenti la minima libertà di svolgere funzioni fino a quando non vengono affidati a lui o lei i dati.