Hola, todo va a depender de que tipo de persona seas, si eres bueno para aprender rápido entonces te recomiendo aprender en la práctica y leer uno que otro tutorial de ves en cuando, las certificaciones no te darán lo necesario para dedicarte al pentesting pero si una validación superficial de lo que sabes.

Comienza por lo básico, primero decide que te gusta mas, redes o aplicaciones, eso dependerá si debes enfocarte en seguridad en infraestructura (análisis perimetrales) o seguridad aplicativa (analisis web, etc).

En ambos casos necesitarás laboratorios para ir aprendiendo, recuerda que no todo es metódico, esto quiere decir que aunque aprendas que es un xss no quiere decir que va a ser lo único con lo que te vas a topar, siempre existirán cosas nuevas que aprender en el cmaino y que te harán mucha falta a pesar de que nunca pensaste que lo usarías, por ejemplo, aprender a montar tu maquina virtual y a hacer tu pequeño laboratorio de aplicaicones y servicios y eso te dará conocimiento y entendimiento de que hay detrás de lo que analizarás.

También hay algunos servicios por internet como hackthebox.eu que te ayudarán a fortalecer algunos conceptos nuevos, también dale un vistazo a hackerone y aunque no logres encontrar nada te servirá para practicar con sitios reales donde te darán el permiso de hacerlo, ya que si quieres hacer hacking ético no podrás estar probando vulnerabilidades en sitios rpoductivos que no sean tuyos o que no te han dado permiso para analizarlos.

También te va a servir bastante ver videos de youtube sobre hacking, ahi podrás aprender algo sobre herramientas y esas cosas, pero lo mas importante es aprender a conocer lo que estás analizando, asi que si quieres dedicarte al hacking ético en redes y sistemas deberás practicar crear tus redes y autohackearlas y si es aplicativo deberás aprender desarrollo web.

Luego de eso deberás estudiar algo sobre estandares tanto del lado de la implementación como de la seguridad, como los términos de la cwe, cve, cvss, normas iso, el estandar de oasis y esas cosas, pero primero necesitas madurar en la práctica para que no llenes tu cabeza con tantas cosas antes de comenzar.

Para el resto de lo que necesites, acá estamos para ayudarte con tus preguntas y no te preocupes si son preguntas básicas, acá no expulsamos a nadie por hacer preguntas básicas como en stackoverflow.

Saludos y bienvenido

No te preocupes, nunca estudié en una universidad ni tengo estudios superiores, de hecho ni si quiera tengo certificaciones, pero tengo mucho conocimiento y una buena ética y los trabajos no me faltan.

Saludos y adelante.