L'analisi della superficie di attacco è una valutazione del numero totale di vulnerabilità sfruttabili in un sistema o in una rete o in un altro potenziale bersaglio di attacchi informatici.
Sia gli addetti alla sicurezza IT che gli hacker utilizzano l'analisi della superficie di attacco per rilevare le debolezze della sicurezza in un sistema. Un individuo che cerca di entrare in un sistema generalmente inizia con la scansione della superficie di attacco del bersaglio per le vulnerabilità prima di scegliere un vettore di attacco. Questo è generalmente vero per gli attacchi attivi, gli attacchi passivi, l'hacking etico e le competizioni di hacking.
La superficie di attacco di un'organizzazione può essere suddivisa in alcune categorie:
- La superficie di attacco di rete: la totalità di tutte le vulnerabilità nell'hardware e nel software connessi che sono accessibili a un utente non autenticato.
- La superficie di attacco del software: il profilo completo di tutte le funzioni in qualsiasi codice in esecuzione in un dato sistema che sono disponibili per un utente non autenticato.
- La superficie di attacco fisica: tutte le vulnerabilità di sicurezza in un dato sistema hardware che sono accessibili a un utente malintenzionato nella stessa posizione del bersaglio.
Questi diversi tipi di superfici di attacco pongono tipi di minacce molto diversi. Di solito, l'analisi delle vulnerabilità di un obiettivo si concentra sulle funzioni esposte del codice in entrata e in uscita (la superficie di attacco del software). Con la maggior parte degli attacchi provenienti dal Web, la superficie di attacco di rete è una considerazione molto importante perché è il percorso più comune alla superficie di attacco del software.
La superficie di attacco fisico si ramifica con sempre più possibilità in stretto accesso al bersaglio. L'elemento fisico include minacce interne, social networking e persino irruzione, ingresso e atti vandalici come considerazioni.
OWASP offre un cheat sheet sull'analisi della superficie di attacco per le organizzazioni; gli strumenti software includono Microsoft Attack Surface Analyzer. Tuttavia, poiché gli aggressori possono essere molto creativi, è spesso necessario che gli analisti della sicurezza pensino come un hacker per percepire potenziali minacce.