Em uma Assembleia Legislativa, o sistema de acesso interno permite autenticação de servidores via endpoint POST /graphql,
com limitação de 3 requisições por minuto por IP. Durante uma auditoria, verificou-se que um agente malicioso utilizou batching
de queries GraphQL para submeter múltiplas combinações de credenciais em uma única requisição, contornando o controle
existente. Considerando esse cenário e a necessidade de mitigar ataques de força bruta e credential stuffing, o controle que
deve ser utilizado é