‫ تفاوت سطح حمله (Attack Surface) و درخت حمله (Attack Tree) :

سطح حمله به نقاط احتمالی‌ای گفته می‌شود که یک فرد بدون مجوز می‌تواند با سوء‌استفاده از آسیب‌پذیری‌های سیستم، به آن نفوذ کند. این سطح ترکیبی از نقاط انتهایی ضعیف نرم‌افزار، سیستم یا شبکه‌ای است که مهاجمان می‌توانند از طریق آن نفوذ کنند.
درخت حمله نوعی ساختار است که تهدیدات امنیتی بالقوه را کشف می‌کند. بسته به نوع حمله، درخت حمله می‌تواند بسیار پیچیده باشد.
درختی بودنِ ساختار این روش باعث می‌شود درک آن نسبت به سطح حمله دشوارتر باشد. طول درخت حمله‌ی یک مهاجم می‌تواند بسته به هدف و هدف‌گیری او زیاد باشد، اما با کاهش اسکریپت‌ها و محدود کردن دسترسی افراد قابل‌اعتماد، می‌توان آن را کوتاه‌تر کرد. باوجود دشواری درک، درخت حمله همچنان اساسی‌ترین روش برای ارزیابی سیستم امنیت‌اطلاعاتی محسوب می‌شود.
تفاوت اصلی بین سطح حمله و درخت حمله این است که درخت حمله مجموعه‌ای از روش‌های دفاع در برابر کاربران غیرمجاز است، درحالی‌که سطح حمله نقطه‌ای است که برای حمله به سیستم استفاده می‌شود. برخی از تفاوت‌های دیگر بین سطح حمله و درخت حمله به شرح زیر است:
•    درخت حمله مجموعه‌ای از روش‌ها و برنامه‌هایی برای دفاع در برابر حملات سایبری است، درحالی‌که سطح حمله میزان سهولت حمله به یک سیستم را اندازه‌گیری می‌کند.
•    درخت حمله مسیر آسیب‌پذیری و مجموعه‌ای از اقدامات برای محافظت در برابر تهدیدها را نشان می‌دهد. از سوی دیگر، کاهش سطح حمله سطح دسترسی را فقط به کاربران مجاز محدود می‌کند.
•    درخت حمله‌بر اساس آسیب‌پذیری‌های شناسایی‌شده در سطح حمله طراحی می‌شود. سوراخ امنیتی در سطح حمله به مهاجم اجازه می‌دهد داده‌های سیستم را سرقت کند.
•    سطح حمله را می‌توان در مرحله‌ی اولیه برای یافتن آسیب‌پذیری قبل از برنامه‌ریزی درخت حمله مقایسه کرد.
•    اطلاعات سطح حمله ‌برای یافتن راه حمله استفاده می‌شود. خود درخت حمله فرآیند حمله است.