Também tenho bastante interesse na área, inclusive estou fazendo um MBA em Segurança da Informação. Meu foco não é tanto Pentest/RedTeam, gosto mais de trabalhar no outro lado da moeda, estudando secury-by-design, programação defensiva e DevSecOps. Eu diria para começar estudando os standards do mercado como NIST e OWASP. Inclusive existe um site excelente para estudar as técnicas e vulnerabilidades da OWASP, o OWASP Top 10 for Web. No mais, os outros links do comentário do NaulEpilef são ótimas pedidas também. Bons estudos!