Análise da superfície de ataque é uma avaliação do número total de vulnerabilidades exploráveis em um sistema ou rede ou outro alvo potencial de ataque de computador.
Tecnários de segurança de TI e hackers tanto usam análise da superfície de ataque para detectar fraquezas de segurança em um sistema. Um indivíduo que tenta invadir um sistema geralmente começa por varrer a superfície de ataque do alvo em busca de vulnerabilidades antes de escolher um vetor de ataque. Isto é geralmente verdade para ataques ativos, ataques passivos, hacking ético e competições de hacking.
A superfície de ataque de uma organização pode ser subdividida em algumas categorias:
- A superfície de ataque de rede: a totalidade de todos vulnerabilidades em hardware e software conectados que são acessíveis a um usuário não autenticado usuário.
- A superfície de ataque de software: o perfil completo de todas as funções de qualquer código em execução num determinado sistema que estão disponíveis para um não autenticado utilizador.
- A superfície de ataque físico: toda a segurança vulnerabilidades num determinado sistema de hardware que são acessíveis a um atacante no mesmo local que o alvo.
Estes diferentes tipos de superfícies de ataque representam tipos muito diferentes de ameaças. Normalmente, a análise das vulnerabilidades de um alvo centra-se nas funções expostas do código de entrada e saída (a superfície de ataque do software). Com a maioria dos ataques provenientes da web, a superfície de ataque de rede é uma consideração muito importante porque é o caminho mais comum para a superfície de ataque do software.
A superfície de ataque físico ramifica-se com mais e diferentes possibilidades em acesso próximo ao alvo. O elemento físico inclui ameaças internas, redes sociais e até mesmo quebra e entrada e vandalização como considerações.
>br> OWASP oferece uma análise de superfície de ataque de cheat sheet para organizações; as ferramentas de software incluem o Microsoft Attack Surface Analyzer. Entretanto, como os atacantes podem ser muito criativos, muitas vezes é necessário que os analistas de segurança pensem como um hacker para perceber potenciais ameaças.