Количество потенциально уязвимых объектов в компьютерной системе. Термин применяется для оценки усилий, необходимых для защиты конкретной сети или устройства. В задачу ИБ-специалистов входит уменьшение количества уязвимых точек при сохранении функциональности системы. Например, в случае отключения открытого, но не используемого порта поверхность атаки будет уменьшена.