Una de las grandes preguntas que se llevan a cabo los expertos de seguridad a la hora de decidir cómo van a proteger el acceso a cualquier infraestructura es el modo de razonamiento que seguirán.

La filosofía elegida condicionará de forma directa los diferentes mecanismos a utilizar para garantizar la protección de los recursos internos de una compañía. De hecho todos los sistemas de seguridad que conocemos en el mundo de las redes y comunicaciones puede clasificarse en uno de los dos modelos.

Modelo de Seguridad Negativa: Se basa en la idea de que todos los accesos a los recursos decididos están permitidos, excepto aquellos que sean prohibidos de forma explícita. Es decir: "todo lo que no está prohibido, está permitido". En esta filosofía podemos encuadrar a los antivirus (permito pasar todos los ficheros adjuntos a un correo electrónico excepto aquellos que contienen virus); los mecanismos antispam (todos los correos están permitidos excepto aquellos que lleven determinado contenido molesto); IDS/IPS (Intrusion Detection/Prevention Systems), algunos WAF (Web Application Firewalls, mediante la utilización de listas negras o de scoring, evitando los ataques conocidos a aplicaciones basadas en web: SQL Injections, Cross-Site Scripting, etc...)

Modelo de Seguridad Positiva: Consistente en justo la idea contraria al anterior: "todo aquello que no está explícitamente permitido, está prohibido". Un ejemplo muy claro de este modelo es un cortafuegos de red "bien configurado" (aquél en el que permitimos el tráfico necesario mediante reglas explícitas y denegamos todo lo demás con la regla de limpieza al final de la configuración); los mecanismos de autenticación (permiten el acceso a aquellos usuarios cuya contraseña/token/certificado es válido y deniegan a todos los demás); algunos WAF o Cortafuegos de Aplicaciones Web (definiendo una plantilla para una aplicación web en la que los parámetros han de tener un riguroso formato, de manera que si el usuario introduce valores no permitidos, se bloquea el acceso)...

Como indicaba anteriormente, en todas las organizaciones se suele seguir una u otra filosofía para decidir cómo será de restrictiva la política de accesos a los diversos recursos. En líneas generales, no se puede decir que una corriente es mejor que la otra, sino que como decía Aristóteles "En el término medio está la virtud" de manera que desde aquí recomendamos la utilización de ambas modalidades siempre y cuando sea posible. Para las aplicaciones que sean inmutables en cuanto a la forma de acceder, así como los servicios expuestos, se puede recomendar utilizar el Modelo de Seguridad Positiva. No obstante, emplear mecanismos que implemente el Modelo de Seguridad Negativa para proteger que esos accesos que tienen el formato correcto no son víctima de ataques conocidos tampoco estará de más. Sin embargo, para aplicaciones que tienen mayor posibilidad de dar falsos positivos (en forma de bloqueos) sólo será posible utilizar mecanismos del Modelo de Seguridad Negativa afinándolos y adaptándolos a las aplicaciones y/o servicios de la organización para evitar dichos falsos positivos.

Fuente: http://www.securitybydefault.com/2008/07/modelo-de-seguridad-positiva-vs-modelo.html