Tietoturvan hyökkäyspinta on mikä tahansa alue, jolla valtuuttamaton käyttäjä voi ajaa tai syöttää koodia järjestelmään. Tämä on jaettu kolmeen osaan: verkko, ohjelmisto ja ihmisen hyökkäyspinta. Vaikka pinnat ovat teknisesti vain mitta siitä, kuinka todentamattomat käyttäjät voivat käyttää järjestelmää, toinen hyökkäys voi tulla luotetulta työntekijältä. On olemassa tapoja vähentää hyökkäystä, kuten tehdä vähemmän toimintoja, joihin käyttäjät voivat lisätä koodia, ottaa vähemmän koodia yleensä ja jakaa nämä toiminnot niin, että vain luotetut käyttäjät voivat käyttää niitä. Hyökkäyspintojen vähentäminen ei vähennä hyökkäyksen aiheuttamaa vahinkoa, vain todennäköisyys hyökkäykselle.
Ohjelmien, verkkojen ja verkkosivustojen käsittelyssä on aina hyökkäyspinta. Joitakin pintoja voidaan pienentää tai poistaa, mutta jotkut ovat elintärkeitä ohjelman onnistumisen kannalta. Esimerkiksi syöttölomaketta, jonka avulla käyttäjät voivat kirjoittaa viestejä, pidetään turvallisuusuhkana. Samaan aikaan, jos on olemassa ohjelma tai verkkosivusto, jonka on kerättävä tietoja käyttäjiltä ja käyttäjän on kirjoitettava tiedot manuaalisesti, syöttökenttä on ainoa tapa tehdä tämä mahdolliseksi.
Hyökkäyspinnat mitataan kolmessa luokassa. Verkon hyökkäyspinnat ovat verkossa ja johtuvat pääasiassa avoimista porteista tai pistorasioista tai tunneleista, jotka poraavat verkkoon. Tunneleita on toisinaan vaikea löytää, koska ne voivat näyttää olevan säännöllistä liikennettä verkossa. Ohjelmiston hyökkäyspinta on mikä tahansa ohjelman alue tai toiminto, jota käyttäjä voi käyttää sijainnista tai todennuksesta riippumatta.
Ihmisen hyökkäyspinta on erilainen kuin kaksi muuta, koska verkko- ja ohjelmistopinnat perustuvat todentamattomiin käyttäjiin. Ihmisen pintaan liittyy tyytymättömiä tai häikäilemättömiä työntekijöitä varastamaan tai tuhoamaan tietoja. Jos työntekijä lähtee yrityksestä ja uuden työntekijän on päästävä tietoihin, sitä pidetään myös turvallisuusuhkana, koska ei ole vielä selvää, kuinka paljon luottamusta uuteen työntekijään voidaan luottaa.
Hyökkäyspinnan pienentäminen vaihtelee sen mukaan, mitä aluetta pienennetään. Verkkopintojen yhteydessä kaikkien porttien ja pistorasioiden tulee olla suljettuina kaikille muille kuin luotetuille lähteille. Ohjelmistopinnoilla kokonaiskoodin määrä tulisi rajoittaa minimiin ja todentamattomien käyttäjien käytettävissä olevien toimintojen määrä tulisi rajoittaa vain muutamaan alueeseen. Ihmisen pinnan pienentäminen voi olla vaikeaa, ja tämä voidaan tehdä tehokkaasti vain antamalla uusille työntekijöille vähimmäisvapaus tehtävien suorittamiseen, kunnes hänelle on luotettu tiedot.